Cartilha Seguranca Internet

http://cartilha.cert.
br/
Publicao
ATRIBUICAO
USO NAO COMERCIAL
VEDADA A CRIACAO DE OBRAS DERIVADAS 3.0 BRASIL
VOCE PODE: copiar, distribuir e transmitir a obra sob as seguintes condicoes: ATRIBUICAO: Voc deve creditar a obra da forma especicada pelo autor ou licenciante e (mas n o de maneira que sugira que estes concedem qualquer aval a voc ou a e ao seu uso da obra). USO NAO COMERCIAL: Voc n o pode usar esta obra para ns comerciais. e a VEDADA A CRIACAO DE OBRAS DERIVADAS: Voc n o pode alterar, transformar ou criar em cima desta obra. e a
Nucleo de Informacao e Coordenacao do Ponto BR Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil
Cartilha de Seguranca para Internet

Versao 4.0
Comite Gestor da Internet no Brasil Sao Paulo 2012
Comit Gestor da Internet no Brasil (CGI.br) e N cleo de Informacao e Coordenacao do Ponto BR (NIC.br) u Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br)
Textos e Edicao: Equipe do CERT.br Ilustracoes: H ctor G mez e Osnei e o
Cartilha de Seguranca para Internet, vers o 4.0 / CERT.br S o Paulo: Comit Gestor da Internet no a a e Brasil, 2012.
Primeira edicao: 2006 ISBN: 978-85-60062-05-8 ISBN: 85-60062-05-X Segunda edicao: 2012 ISBN: 978-85-60062-54-6
A Cartilha de Seguranca para Internet e uma publicacao independente, produzida pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br), do N cleo de Informacao e Coordenacao do Ponto BR u (NIC.br), braco executivo do Comit Gestor da Internet no Brasil (CGI.br) e n o possui qualquer relacao de aliacao, e a patrocnio ou aprovacao de outras instituicoes ou empresas citadas em seu conte do. u Os nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcas registradas comerciais, de produtos ou servicos, no Brasil ou em outros pases, e s o utilizados com prop sito de a o exemplicacao, sem intencao de promover, denegrir ou infringir. Embora todas as precaucoes tenham sido tomadas na elaboracao desta obra, autor e editor n o garantem a correcao a absoluta ou a completude das informacoes nela contidas e n o se responsabilizam por eventuais danos ou perdas que a possam advir do seu uso.
Pref cio a
A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como o usu rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de possveis a ameacas. O documento apresenta o signicado de diversos termos e conceitos utilizados na Internet, aborda os riscos de uso desta tecnologia e fornece uma s rie de dicas e cuidados a serem tomados e pelos usu rios para se protegerem destas ameacas. a A producao desta cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br), que e um dos servicos prestados para a comunidade Internet do Brasil pelo N cleo de Informacao e Coordenacao do Ponto BR (NIC.br), o braco executivo do Comit u e Gestor da Internet no Brasil. N s esperamos que esta Cartilha possa auxili -lo n o s a compreender as ameacas do ambiente o a a o Internet, mas tamb m a usufruir dos benefcios de forma consciente e a manter a seguranca de seus e dados, computadores e dispositivos m veis. Gostaramos ainda de ressaltar que e muito importante o car sempre atento ao usar a Internet, pois somente aliando medidas t cnicas a boas pr ticas e possvel e a atingir um nvel de seguranca que permita o pleno uso deste ambiente. Caso voc tenha alguma sugest o para este documento ou encontre algum erro, por favor, entre e a em contato por meio do endereco doc@cert.br. Boa leitura! Equipe do CERT.br Junho de 2012
Estrutura da Cartilha
Este documento conta com quatorze captulos, que dividem o conte do em diferentes areas rela u cionadas com a seguranca da Internet, al m de um gloss rio e um ndice remissivo. e a De forma geral, o Captulo 1 apresenta uma introducao sobre a import ncia de uso da Internet, os a riscos a que os usu rios est o sujeitos e os cuidados a serem tomados. Do Captulo 2 ao 6 os riscos a a s o apresentados de forma mais detalhada, enquanto que do Captulo 7 ao 13 o foco principal s o os a a cuidados a serem tomados e os mecanismos de seguranca existentes. 1. Seguranca na Internet: Trata dos benefcios que a Internet pode trazer na realizacao de atividades cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb m e esclarecer que a Internet n o tem nada de virtual e que os cuidados a serem tomados ao a us -la s o semelhantes aos que se deve ter no dia a dia. a a
iii
iv
2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes golpes representam e os cuidados que devem ser tomados para se proteger deles. 3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as motivacoes que levam os atacantes a praticar atividades deste tipo e as t cnicas que costumam e ser utilizadas. Ressalta a import ncia de cada um fazer a sua parte para que a seguranca geral a da Internet possa ser melhorada. 4. C digos maliciosos (Malware): Aborda os diferentes tipos de c digos maliciosos, as diversas foro o mas de infeccao e as principais acoes danosas e atividades maliciosas por eles executadas. Apresenta tamb m um resumo comparativo para facilitar a classicacao dos diferentes tipos. e 5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter implicacoes de seguranca, e m todos de prevencao. e 6. Outros riscos: Aborda alguns dos servicos e recursos de navegacao incorporados a grande maioria dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados que devem ser tomados ao utiliz -los. Trata tamb m dos riscos apresentados e dos cuidados a a e serem tomados ao compartilhar recursos na Internet. 7. Mecanismos de seguranca: Apresenta os principais mecanismos de seguranca existentes e os cui dados que devem ser tomados ao utiliz -los. Ressalta a import ncia de utilizacao de ferramentas a a de seguranca aliada a uma postura preventiva. 8. Contas e senhas: Aborda o principal mecanismo de autenticacao usado na Internet que s o as a contas e as senhas. Inclui dicas de uso, elaboracao, gerenciamento, alteracao e recuperacao, entre outras. 9. Criptograa: Apresenta alguns conceitos de criptograa, como funcoes de resumo, assinatura digital, certicado digital e as chaves sim tricas e assim tricas. Trata tamb m dos cuidados que e e e devem ser tomados ao utiliz -la. a 10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s o feitos da Internet a e os cuidados que devem ser tomados ao utiliz -los. Aborda quest es referentes a seguranca a o nas conex es Web especialmente as envolvem o uso de certicados digitais. o ` 11. Privacidade: Discute quest es relacionadas a privacidade do usu rio ao utilizar a Internet e aos o a cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes a disponibilizacao de informacoes pessoais nas redes sociais. 12. Seguranca de computadores: Apresenta os principais cuidados que devem ser tomados ao usar computadores, tanto pessoais como de terceiros. Ressalta a import ncia de manter os compua tadores atualizados e com mecanismos de protecao instalados. 13. Seguranca de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces ` so a Internet, como banda larga (xa e m vel), Wi-Fi e Bluetooth. o 14. Seguranca em dispositivos m veis: Aborda os riscos relacionados ao uso de dispositivos m o o veis e procura demonstrar que eles s o similares aos computadores e que, por isto, necessitam a dos mesmos cuidados de seguranca.
Licenca de Uso da Cartilha

A Cartilha de Seguranca para Internet e disponibilizada sob a licenca Creative Commons Atribui cao-Uso n o-comercial-Vedada a criacao de obras derivadas 3.0 Brasil (CC BY-NC-ND 3.0). a A licenca completa est disponvel em: http://cartilha.cert.br/cc/. a
Hist rico da Cartilha o

No incio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que ` a epoca chamava-se NBSO NIC BR Security Ofce), identicou a necessidade de um guia com informacoes sobre seguranca que pudesse ser usado como refer ncia pelos diversos setores usu rios e a de Internet. Como conseq encia, a pedido do Comit Gestor da Internet no Brasil e sob supervis o u e a do CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers o 1.0. a Em 2003 foi vericada a necessidade de uma revis o geral do documento, que n o s inclusse a a o novos t picos, mas que tamb m facilitasse sua leitura e a localizacao de assuntos especcos. Neste o e ` processo de revis o a Cartilha foi completamente reescrita, dando origem a vers o 2.0. Esta vers o, a a a a primeira totalmente sob responsabilidade do CERT.br, possua estrutura dividida em partes, al m de e contar com o checklist e o gloss rio. Tamb m nesta vers o foram introduzidas as secoes relativas a a e a fraudes na Internet, banda larga, redes sem o, spam e incidentes de seguranca. ` Na vers o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da teca nologia, novos assuntos foram includos. Foi criada uma parte especca sobre c digos maliciosos, o expandida a parte sobre seguranca de redes sem o e includos t picos especcos sobre seguranca o em dispositivos m veis. Esta vers o tamb m foi a primeira a disponibilizar um folheto com as dicas o a e b sicas para protecao contra as ameacas mais comuns. a A vers o 3.1 n o introduziu partes novas, mas incorporou diversas sugest es de melhoria recebia a o das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formato de livro, para facilitar a leitura e a impress o do conte do completo. a u Em 2012 foi vericada novamente a necessidade de revis o geral do documento, o que deu origem a ` a vers o 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente a pela popularizacao dos dispositivos m veis e facilidades de conex o, constatou-se a necessidade de o a abordar novos conte dos e agrupar os assuntos de maneira diferente. Esta vers o conta com um livro u a com todo o conte do que, com o objetivo de facilitar a leitura e torn -la mais agrad vel, e totalmente u a a ilustrado. Este livro, por sua vez, e complementado por fascculos com vers es resumidas de alguns o dos t picos, de forma a facilitar a difus o de conte dos especcos. o a u
Agradecimentos
Agradecemos a todos leitores da Cartilha, que t m contribudo para a elaboracao deste documento, e enviando coment rios, crticas, sugest es ou revis es. a o o Agradecemos as contribuicoes de Rafael Rodrigues Obelheiro, na vers o 3.0, e de Nelson Murilo, a na Parte V da vers o 3.1 e no Captulo 13 da atual vers o. a a Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da primeira vers o; a Marcelo H. P. C. Chaves, pela producao das vers es 2.0, 3.0 e 3.1 e pela criacao a o das guras da atual vers o; a Lucimara Desider , pelas pesquisas realizadas, pela contribuicao nos a a Captulos 9 e 13 e tamb m pela pela criacao das guras da atual vers o; e a Miriam von Zuben, pela e a producao da vers o 4.0 e por ser a principal mantenedora da Cartilha. a
vii
Sum rio a
Pref cio a Agradecimentos Lista de Figuras Lista de Tabelas 1 2 Seguranca na Internet Golpes na Internet 2.1 2.2 2.3 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . Fraude de antecipacao de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 2.4 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iii vii xiii xiii 1 5 6 7 9 11 12 12 13 14 15 16 17 18 18 18 19

ix
Golpes de com rcio eletr nico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e o 2.4.1 2.4.2 2.4.3 Golpe do site de com rcio eletr nico fraudulento . . . . . . . . . . . . . . . e o Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . Golpe do site de leil o e venda de produtos . . . . . . . . . . . . . . . . . . a
2.5 2.6 3
Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ataques na Internet 3.1 3.2 3.3 3.4 Exploracao de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Falsicacao de e-mail (E-mail spoong) . . . . . . . . . . . . . . . . . . . . . . . . Interceptacao de tr fego (Snifng) . . . . . . . . . . . . . . . . . . . . . . . . . . . a
3.5 3.6 3.7 3.8 4
Forca bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desguracao de p gina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . a Negacao de servico (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20 21 21 22 23 24 25 26 27 28 28 29 30 30 33 35 39 40 41 42 42 43 43 44 45 47 48 50 51
C digos maliciosos (Malware) o 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 Vrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Spam 5.1 Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Outros riscos 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C digos m veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o o Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plug-ins, complementos e extens es . . . . . . . . . . . . . . . . . . . . . . . . . . o Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Programas de distribuicao de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mecanismos de seguranca 7.1 7.2 7.3 Poltica de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Noticacao de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sumario
xi
7.4 7.5 7.6 7.7 7.8 7.9
Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C pias de seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51 51 53 55 57 58 58 59 60 61 63 63 65 67 68 69 69 70 72 73 75 78 79 82 85 87 93 98 99
7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Contas e senhas 8.1 8.2 8.3 8.4 8.5 9 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Elaboracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alteracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . Recuperacao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Criptograa 9.1 9.2 9.3 9.4 9.5 9.6 Criptograa de chave sim trica e de chaves assim tricas . . . . . . . . . . . . . . . e e Funcao de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Certicado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Programas de criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 Uso seguro da Internet 10.1 Seguranca em conex es Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 10.1.1 Tipos de conex o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 10.1.2 Como vericar se um certicado digital e con vel . . . . . . . . . . . . . . a 11 Privacidade 11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Seguranca de computadores 12.1 Administracao de contas de usu rios . . . . . . . . . . . . . . . . . . . . . . . . . . a 12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . .
xii
12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100 13 Seguranca de redes 101
13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 13.4 Banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 13.5 Banda Larga M vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 o 14 Seguranca em dispositivos m veis o Gloss rio a Indice Remissivo 107 111 123
Lista de Figuras
9.1 9.2 Exemplos de certicados digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . Cadeia de certicados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 72 79 80 80 81 81 82
10.1 Conex o n o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . a a 10.2 Conex o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . . . a 10.3 Conex o segura usando EV SSL em diversos navegadores. . . . . . . . . . . . . . . a 10.4 Conex o HTTPS com cadeia de certicacao n o reconhecida. a a . . . . . . . . . . . .
10.5 Uso combinado de conex o segura e n o segura. . . . . . . . . . . . . . . . . . . . . a a 10.6 Alerta de certicado n o con vel em diversos navegadores. . . . . . . . . . . . . . a a
Lista de Tabelas
2.1 4.1 9.1 Exemplos de t picos e temas de mensagens de phishing. . . . . . . . . . . . . . . . o Resumo comparativo entre os c digos maliciosos. . . . . . . . . . . . . . . . . . . . o Termos empregados em criptograa e comunicacoes via Internet. . . . . . . . . . . . 10 31 68
xiii
1. Seguranca na Internet
A Internet j est presente no cotidiano de grande parte da populacao e, provavelmente para estas a a pessoas, seria muito difcil imaginar como seria a vida sem poder usufruir das diversas facilidades e oportunidades trazidas por esta tecnologia. Por meio da Internet voc pode: e encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gostos e manter contato com amigos e familiares distantes; ` acessar sites de notcias e de esportes, participar de cursos a dist ncia, pesquisar assuntos de a interesse e tirar d vidas em listas de discuss o; u a efetuar servicos banc rios, como transfer ncias, pagamentos de contas e vericacao de extratos; a e fazer compras em supermercados e em lojas de com rcio eletr nico, pesquisar precos e vericar e o a opini o de outras pessoas sobre os produtos ou servicos ofertados por uma determinada loja; a acessar sites dedicados a brincadeiras, passatempos e hist rias em quadrinhos, al m de grande o e variedade de jogos, para as mais diversas faixas et rias; a enviar a sua declaracao de Imposto de Renda, emitir boletim de ocorr ncia, consultar os pontos e em sua carteira de habilitacao e agendar a emiss o de passaporte; a
1
consultar a programacao das salas de cinema, vericar a agenda de espet culos teatrais, expo a sicoes e shows e adquirir seus ingressos antecipadamente; ` consultar acervos de museus e sites dedicados a obra de grandes artistas, onde e possvel co nhecer a biograa e as t cnicas empregadas por cada um. e Estes s o apenas alguns exemplos de como voc pode utilizar a Internet para facilitar e melhorar a a e sua vida. Aproveitar esses benefcios de forma segura, entretanto, requer que alguns cuidados sejam tomados e, para isto, e importante que voc esteja informado dos riscos aos quais est exposto para e a que possa tomar as medidas preventivas necess rias. Alguns destes riscos s o: a a Acesso a conteudos impr prios ou ofensivos: ao navegar voc pode se deparar com p ginas que o e a contenham pornograa, que atentem contra a honra ou que incitem o odio e o racismo. Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensacao de anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornograa infantil e sequestro. Furto de identidade: assim como voc pode ter contato direto com impostores, tamb m pode ocore e rer de algu m tentar se passar por voc e executar acoes em seu nome, levando outras pessoas e e a acreditarem que est o se relacionando com voc , e colocando em risco a sua imagem ou a e reputacao. ` Furto e perda de dados: os dados presentes em seus equipamentos conectados a Internet podem ser furtados e apagados, pela acao de ladr es, atacantes e c digos maliciosos. o o Invas o de privacidade: a divulgacao de informacoes pessoais pode comprometer a sua privacidade, a de seus amigos e familiares e, mesmo que voc restrinja o acesso, n o h como controlar que e a a elas n o ser o repassadas. Al m disto, os sites costumam ter polticas pr prias de privacidade a a e o e podem alter -las sem aviso pr vio, tornando p blico aquilo que antes era privado. a e u Divulgacao de boatos: as informacoes na Internet podem se propagar rapidamente e atingir um grande n mero de pessoas em curto perodo de tempo. Enquanto isto pode ser desej vel em u a certos casos, tamb m pode ser usado para a divulgacao de informacoes falsas, que podem gerar e p nico e prejudicar pessoas e empresas. a Diculdade de exclus o: aquilo que e divulgado na Internet nem sempre pode ser totalmente exa cludo ou ter o acesso controlado. Uma opini o dada em um momento de impulso pode car a acessvel por tempo indeterminado e pode, de alguma forma, ser usada contra voc e acessada e por diferentes pessoas, desde seus familiares at seus chefes. e Diculdade de detectar e expressar sentimentos: quando voc se comunica via Internet n o h e a a como observar as express es faciais ou o tom da voz das outras pessoas, assim como elas o n o podem observar voc (a n o ser que voc s estejam utilizando webcams e microfones). Isto a e a e pode dicultar a percepcao do risco, gerar mal-entendido e interpretacao d bia. u Diculdade de manter sigilo: no seu dia a dia e possvel ter uma conversa condencial com algu m e e tomar cuidados para que ningu m mais tenha acesso ao que est sendo dito. Na Internet, caso e a n o sejam tomados os devidos cuidados, as informacoes podem trafegar ou car armazenadas a de forma que outras pessoas tenham acesso ao conte do. u
1. Seguranca na Internet
Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em risco a sua sa de fsica, diminuir a sua produtividade e afetar a sua vida social ou prossional. u Pl gio e violacao de direitos autorais: a c pia, alteracao ou distribuicao n o autorizada de conte a o a u dos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jurdicos e em perdas nanceiras. Outro grande risco relacionado ao uso da Internet e o de voc achar que n o corre riscos, pois e a 1 ou que, entre os diversos computasup e que ningu m tem interesse em utilizar o seu computador o e ` dores conectados a Internet, o seu dicilmente ser localizado. E justamente este tipo de pensamento a que e explorado pelos atacantes, pois, ao se sentir seguro, voc pode achar que n o precisa se prevenir. e a Esta ilus o, infelizmente, costuma terminar quando os primeiros problemas comecam a acontecer. a Muitas vezes os atacantes est o interessados em conseguir acesso a grandes quantidades de compua tadores, independente de quais s o, e para isto, podem efetuar varreduras na rede e localizar grande a ` parte dos computadores conectados a Internet, inclusive o seu. Um problema de seguranca em seu computador pode torn -lo indisponvel e colocar em risco a a condencialidade e a integridade dos dados nele armazenados. Al m disto, ao ser comprometido, e seu computador pode ser usado para a pr tica de atividades maliciosas como, por exemplo, servir de a reposit rio para dados fraudulentos, lancar ataques contra outros computadores (e assim esconder a o real identidade e localizacao do atacante), propagar c digos maliciosos e disseminar spam. o Os principais riscos relacionados ao uso da Internet s o detalhados nos Captulos: Golpes na a Internet, Ataques na Internet, C digos maliciosos (Malware), Spam e Outros riscos. o O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e estar ciente de que ela n o tem nada de virtual. Tudo o que ocorre ou e realizado por meio da Internet e real: os dados a s o reais e as empresas e pessoas com quem voc interage s o as mesmas que est o fora dela. Desta a e a a forma, os riscos aos quais voc est exposto ao us -la s o os mesmos presentes no seu dia a dia e os e a a a ` golpes que s o aplicados por meio dela s o similares aqueles que ocorrem na rua ou por telefone. a a E preciso, portanto, que voc leve para a Internet os mesmos cuidados e as mesmas preocupacoes e que voc tem no seu dia a dia, como por exemplo: visitar apenas lojas con veis, n o deixar p blicos e a a u dados sensveis, car atento quando for ao banco ou zer compras, n o passar informacoes a a estranhos, n o deixar a porta da sua casa aberta, etc. a Para tentar reduzir os riscos e se proteger e importante que voc adote uma postura preventiva e e ` que a atencao com a seguranca seja um h bito incorporado a sua rotina, independente de quest es a o como local, tecnologia ou meio utilizado. Para ajud -lo nisto, h diversos mecanismos de seguranca a a que voc pode usar e que s o detalhados nos Captulos: Mecanismos de seguranca, Contas e senhas e e a Criptograa. Outros cuidados, relativos ao uso da Internet, como aqueles que voc deve tomar para manter a e sua privacidade e ao utilizar redes e dispositivos m veis, s o detalhados nos demais Captulos: Uso o a seguro da Internet, Privacidade, Seguranca de computadores, Seguranca de redes e Seguranca em dispositivos m veis. o
Cartilha a palavra computador ser usada para se referir a todos os dispositivos computacionais passveis de a invas o e/ou de infeccao por c digos maliciosos, como computadores e dispositivos m veis. a o o
1 Nesta
2. Golpes na Internet
Normalmente, n o e uma tarefa simples atacar e fraudar dados em um servidor de uma instituia cao banc ria ou comercial e, por este motivo, golpistas v m concentrando esforcos na exploracao de a e fragilidades dos usu rios. Utilizando t cnicas de engenharia social e por diferentes meios e discursos, a e os golpistas procuram enganar e persuadir as potenciais vtimas a fornecerem informacoes sensveis ou a realizarem acoes, como executar c digos maliciosos e acessar p ginas falsas. o a De posse dos dados das vtimas, os golpistas costumam efetuar transacoes nanceiras, acessar sites, enviar mensagens eletr nicas, abrir empresas fantasmas e criar contas banc rias ilegtimas, o a entre outras atividades maliciosas. Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrim nio, o tipicados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat rio. a Nas pr ximas secoes s o apresentados alguns dos principais golpes aplicados na Internet e alguns o a cuidados que voc deve tomar para se proteger deles. e
2.1
Furto de identidade (Identity theft)
O furto de identidade, ou identity theft, e o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a f p blica, tipicados como falsa e u identidade. No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu m abra uma empresa ou e uma conta banc ria usando seu nome e seus documentos. Na Internet isto tamb m pode ocorrer, caso a e algu m crie um perl em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens e se passando por voc ou falsique os campos de e-mail, fazendo parecer que ele foi enviado por voc . e e Quanto mais informacoes voc disponibiliza sobre a sua vida e rotina, mais f cil se torna para e a um golpista furtar a sua identidade, pois mais dados ele tem disponveis e mais convincente ele pode ser. Al m disto, o golpista pode usar outros tipos de golpes e ataques para coletar informacoes sobre e voc , inclusive suas senhas, como c digos maliciosos (mais detalhes no Captulo C digos maliciosos e o o (Malware)), ataques de forca bruta e interceptacao de tr fego (mais detalhes no Captulo Ataques na a Internet). Caso a sua identidade seja furtada, voc poder arcar com consequ ncias como perdas nanceiras, e a e perda de reputacao e falta de cr dito. Al m disto, pode levar muito tempo e ser bastante desgastante e e at que voc consiga reverter todos os problemas causados pelo impostor. e e Prevencao: A melhor forma de impedir que sua identidade seja furtada e evitar que o impostor tenha acesso ` aos seus dados e as suas contas de usu rio (mais detalhes no Captulo Privacidade). Al m disto, a e para evitar que suas senhas sejam obtidas e indevidamente usadas, e muito importante que voc seja e cuidadoso, tanto ao us -las quanto ao elabor -las (mais detalhes no Captulo Contas e senhas). a a E necess rio tamb m que voc que atento a alguns indcios que podem demonstrar que sua a e e identidade est sendo indevidamente usada por golpistas, tais como: a
a voc comeca a ter problemas com org os de protecao de cr dito; e e voc recebe o retorno de e-mails que n o foram enviados por voc ; e a e voc verica nas noticacoes de acesso que a sua conta de e-mail ou seu perl na rede social e foi acessado em hor rios ou locais em que voc pr prio n o estava acessando; a e o a ao analisar o extrato da sua conta banc ria ou do seu cart o de cr dito voc percebe transacoes a a e e que n o foram realizadas por voc ; a e voc recebe ligacoes telef nicas, correspond ncias e e-mails se referindo a assuntos sobre os e o e quais voc n o sabe nada a respeito, como uma conta banc ria que n o lhe pertence e uma e a a a compra n o realizada por voc . a e
2.2
Fraude de antecipacao de recursos (Advance fee fraud)
A fraude de antecipacao de recursos, ou advance fee fraud, e aquela na qual um golpista procura induzir uma pessoa a fornecer informacoes condenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefcio. Por meio do recebimento de mensagens eletr nicas ou do acesso a sites fraudulentos, a pessoa o e envolvida em alguma situacao ou hist ria mirabolante, que justique a necessidade de envio de o informacoes pessoais ou a realizacao de algum pagamento adiantado, para a obtencao de um benef cio futuro. Ap s fornecer os recursos solicitados a pessoa percebe que o tal benefcio prometido n o o a existe, constata que foi vtima de um golpe e que seus dados/dinheiro est o em posse de golpistas. a O Golpe da Nig ria (Nigerian 4-1-9 Scam1 ) e um dos tipos de fraude de antecipacao de recursos e mais conhecidos e e aplicado, geralmente, da seguinte forma: a. Voc recebe uma mensagem eletr nica em nome de algu m ou de alguma instituicao dizendoe o e se ser da Nig ria, na qual e solicitado que voc atue como intermedi rio em uma transfer ncia e e a e internacional de fundos; b. o valor citado na mensagem e absurdamente alto e, caso voc aceite intermediar a transacao, e recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor; c. o motivo, descrito na mensagem, pelo qual voc foi selecionado para participar da transacao e geralmente e a indicacao de algum funcion rio ou amigo que o apontou como sendo uma pessoa a honesta, con vel e merecedora do tal benefcio; a d. a mensagem deixa claro que se trata de uma transfer ncia ilegal e, por isto, solicita sigilo e absoluto e urg ncia na resposta, caso contr rio, a pessoa procurar por outro parceiro e voc e a a e perder a oportunidade; a e. ap s responder a mensagem e aceitar a proposta, os golpistas solicitam que voc pague antecio e padamente uma quantia bem elevada (por m bem inferior ao total que lhe foi prometido) para e arcar com custos, como advogados e taxas de transfer ncia de fundos; e f. ap s informar os dados e efetivar o pagamento solicitado, voc e informado que necessita reao e lizar novos pagamentos ou perde o contato com os golpistas; g. nalmente, voc percebe que, al m de perder todo o dinheiro investido, nunca ver a quantia e e a prometida como recompensa e que seus dados podem estar sendo indevidamente usados. Apesar deste golpe ter cado conhecido como sendo da Nig ria, j foram registrados diversos e a casos semelhantes, originados ou que mencionavam outros pases, geralmente de regi es pobres ou o que estejam passando por conitos polticos, econ micos ou raciais. o A fraude de antecipacao de recursos possui diversas variacoes que, apesar de apresentarem dife rentes discursos, assemelham-se pela forma como s o aplicadas e pelos danos causados. Algumas a destas variacoes s o: a
` n mero 419 refere-se a secao do C digo Penal da Nig ria equivalente ao artigo 171 do C digo Penal Brasileiro, u o e o ou seja, estelionato.
1O
Loteria internacional: voc recebe um e-mail informando que foi sorteado em uma loteria internae cional, mas que para receber o pr mio a que tem direito, precisa fornecer seus dados pessoais e e informacoes sobre a sua conta banc ria. a Cr dito f cil: voc recebe um e-mail contendo uma oferta de empr stimo ou nanciamento com e a e e ` taxas de juros muito inferiores as praticadas no mercado. Ap s o seu cr dito ser supostamente o e aprovado voc e informado que necessita efetuar um dep sito banc rio para o ressarcimento e o a das despesas. Doacao de animais: voc deseja adquirir um animal de uma raca bastante cara e, ao pesquisar por e possveis vendedores, descobre que h sites oferecendo estes animais para doacao. Ap s entrar a o em contato, e solicitado que voc envie dinheiro para despesas de transporte. e Oferta de emprego: voc recebe uma mensagem em seu celular contendo uma proposta tentadora e de emprego. Para efetivar a contratacao, no entanto, e necess rio que voc informe detalhes de a e sua conta banc ria. a Noiva russa: algu m deixa um recado em sua rede social contendo insinuacoes sobre um possvel e relacionamento amoroso entre voc s. Esta pessoa mora em outro pas, geralmente a R ssia, e e u ap s alguns contatos iniciais sugere que voc s se encontrem pessoalmente, mas, para que ela o e possa vir at o seu pas, necessita ajuda nanceira para as despesas de viagem. e Prevencao: A melhor forma de se prevenir e identicar as mensagens contendo tentativas de golpes. Uma mensagem deste tipo, geralmente, possui caractersticas como: oferece quantias astron micas de dinheiro; o solicita sigilo nas transacoes; solicita que voc a responda rapidamente; e apresenta palavras como urgente e condencial no campo de assunto; apresenta erros gramaticais e de ortograa (muitas mensagens s o escritas por meio do uso de a programas tradutores e podem apresentar erros de traducao e de concord ncia). a Al m disto, adotar uma postura preventiva pode, muitas vezes, evitar que voc seja vtima de e e golpes. Por isto, e muito importante que voc : e questione-se por que justamente voc , entre os in meros usu rios da Internet, foi escolhido para e u a receber o benefcio proposto na mensagem e como chegaram at voc ; e e descone de situacoes onde e necess rio efetuar algum pagamento com a promessa de futura a mente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descontadas do valor total). Aplicar a sabedoria popular de ditados como Quando a esmola e demais, o santo descona ou Tudo que vem f cil, vai f cil, tamb m pode ajud -lo nesses casos. a a e a Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para a conrmar que o seu endereco de e-mail e v lido. Esta informacao pode ser usada, por exemplo, para inclu-lo em listas de spam ou de possveis vtimas em outros tipos de golpes.
2.3
Phishing
Phishing2 , phishing-scam ou phishing/scam, e o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e nanceiros de um usu rio, pela utilizacao combinada de meios a t cnicos e engenharia social. e O phishing ocorre por meio do envio de mensagens eletr nicas que: o tentam se passar pela comunicacao ocial de uma instituicao conhecida, como um banco, uma empresa ou um site popular; procuram atrair a atencao do usu rio, seja por curiosidade, por caridade ou pela possibilidade a de obter alguma vantagem nanceira; informam que a n o execucao dos procedimentos descritos pode acarretar s rias consequ ncias, a e e como a inscricao em servicos de protecao de cr dito e o cancelamento de um cadastro, de uma e conta banc ria ou de um cart o de cr dito; a a e tentam induzir o usu rio a fornecer dados pessoais e nanceiros, por meio do acesso a p ginas a a falsas, que tentam se passar pela p gina ocial da instituicao; da instalacao de c digos malicioa o sos, projetados para coletar informacoes sensveis; e do preenchimento de formul rios contidos a na mensagem ou em p ginas Web. a Para atrair a atencao do usu rio as mensagens apresentam diferentes t picos e temas, normalmente a o explorando campanhas de publicidade, servicos, a imagem de pessoas e assuntos em destaque no momento, como exemplicado na Tabela 2.13 . Exemplos de situacoes envolvendo phishing s o: a P ginas falsas de com rcio eletr nico ou Internet Banking: voc recebe um e-mail, em nome de a e o e um site de com rcio eletr nico ou de uma instituicao nanceira, que tenta induzi-lo a clicar em e o um link. Ao fazer isto, voc e direcionado para uma p gina Web falsa, semelhante ao site que e a voc realmente deseja acessar, onde s o solicitados os seus dados pessoais e nanceiros. e a P ginas falsas de redes sociais ou de companhias a reas: voc recebe uma mensagem contendo a e e um link para o site da rede social ou da companhia a rea que voc utiliza. Ao clicar, voc e e e e direcionado para uma p gina Web falsa onde e solicitado o seu nome de usu rio e a sua sea a nha que, ao serem fornecidos, ser o enviados aos golpistas que passar o a ter acesso ao site e a a poder o efetuar acoes em seu nome, como enviar mensagens ou emitir passagens a reas. a e Mensagens contendo formul rios: voc recebe uma mensagem eletr nica contendo um formul a e o a rio com campos para a digitacao de dados pessoais e nanceiros. A mensagem solicita que voc preencha o formul rio e apresenta um bot o para conrmar o envio das informacoes. Ao e a a preencher os campos e conrmar o envio, seus dados s o transmitidos para os golpistas. a Mensagens contendo links para c digos maliciosos: voc recebe um e-mail que tenta induzi-lo a o e clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e apresentada uma mensagem de erro ou uma janela pedindo que voc salve o arquivo. Ap s salvo, quando voc e o e abri-lo/execut -lo, ser instalado um c digo malicioso em seu computador. a a o
palavra phishing, do ingl s shing, vem de uma analogia criada pelos fraudadores, onde iscas (mensagens e eletr nicas) s o usadas para pescar senhas e dados nanceiros de usu rios da Internet. o a a 3 Esta lista n o e exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento. a
2A
10
Solicitacao de recadastramento: voc recebe uma mensagem, supostamente enviada pelo grupo de e suporte da instituicao de ensino que frequenta ou da empresa em que trabalha, informando que o servico de e-mail est passando por manutencao e que e necess rio o recadastramento. Para a a isto, e preciso que voc forneca seus dados pessoais, como nome de usu rio e senha. e a
T pico o Albuns de fotos e vdeos Tema da mensagem pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televis o a traicao, nudez ou pornograa, servico de acompanhantes Antivrus atualizacao de vacinas, eliminacao de vrus lancamento de nova vers o ou de novas funcionalidades a Associacoes assistenciais AACD Teleton, Click Fome, Crianca Esperanca o para participacao em audi ncia Avisos judiciais intimaca e comunicado de protesto, ordem de despejo Cart es de cr dito o e programa de delidade, promocao Cart es virtuais o UOL, Voxcards, Yahoo! Cart es, O Carteiro, Emotioncard o Com rcio eletr nico e o cobranca de d bitos, conrmacao de compra e atualizacao de cadastro, devolucao de produtos oferta em site de compras coletivas Companhias a reas e promocao, programa de milhagem Eleicoes ttulo eleitoral cancelado, convocacao para mes rio a Empregos cadastro e atualizacao de currculos, processo seletivo em aberto Imposto de renda nova vers o ou correcao de programa a consulta de restituicao, problema nos dados da declaracao Internet Banking unicacao de bancos e contas, suspens o de acesso a atualizacao de cadastro e de cart o de senhas a lancamento ou atualizacao de m dulo de seguranca o comprovante de transfer ncia e dep sito, cadastramento de computador e o Multas e infracoes de tr nsito a aviso de recebimento, recurso, transfer ncia de pontos e M sicas u cancao dedicada por amigos Notcias e boatos fato amplamente noticiado, ataque terrorista, trag dia natural e Pr mios e loteria, instituicao nanceira Programas em geral lancamento de nova vers o ou de novas funcionalidades a Promocoes vale-compra, assinatura de jornal e revista desconto elevado, preco muito reduzido, distribuicao gratuita Propagandas produto, curso, treinamento, concurso Reality shows Big Brother Brasil, A Fazenda, Idolos Redes sociais noticacao pendente, convite para participacao aviso sobre foto marcada, permiss o para divulgacao de foto a Servicos de Correios recebimento de telegrama online Servicos de e-mail recadastramento, caixa postal lotada, atualizacao de banco de dados Servicos de protecao de cr dito regularizacao de d bitos, restricao ou pend ncia nanceira e e e Servicos de telefonia recebimento de mensagem, pend ncia de d bito e e bloqueio de servicos, detalhamento de fatura, cr ditos gratuitos e Sites com dicas de seguranca aviso de conta de e-mail sendo usada para envio de spam (Antispam.br) cartilha de seguranca (CERT.br, FEBRABAN, Abranet, etc.) Solicitacoes orcamento, documento, relat rio, cotacao de precos, lista de produtos o Tabela 2.1: Exemplos de t picos e temas de mensagens de phishing. o
11
Prevencao: que atento a mensagens, recebidas em nome de alguma instituicao, que tentem induzi-lo a fornecer informacoes, instalar/executar programas ou clicar em links; questione-se por que instituicoes com as quais voc n o tem contato est o lhe enviando men e a a sagens, como se houvesse alguma relacao pr via entre voc s (por exemplo, se voc n o tem e e e a conta em um determinado banco, n o h porque recadastrar dados ou atualizar m dulos de a a o seguranca); que atento a mensagens que apelem demasiadamente pela sua atencao e que, de alguma forma, o ameacem caso voc n o execute os procedimentos descritos; e a n o considere que uma mensagem e con vel com base na conanca que voc deposita em seu a a e remetente, pois ela pode ter sido enviada de contas invadidas, de pers falsos ou pode ter sido forjada (mais detalhes na Secao 3.3 do Captulo Ataques na Internet); seja cuidadoso ao acessar links. Procure digitar o endereco diretamente no navegador Web; verique o link apresentado na mensagem. Golpistas costumam usar t cnicas para ofuscar o e link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e possvel ver o endereco real da p gina falsa ou c digo malicioso; a o utilize mecanismos de seguranca, como programas antimalware, rewall pessoal e ltros an tiphishing (mais detalhes no Captulo Mecanismos de seguranca); verique se a p gina utiliza conex o segura. Sites de com rcio eletr nico ou Internet Banka a e o ing con veis sempre utilizam conex es seguras quando dados sensveis s o solicitados (mais a o a detalhes na Secao 10.1.1 do Captulo Uso seguro da Internet); verique as informacoes mostradas no certicado. Caso a p gina falsa utilize conex o segura, a a um novo certicado ser apresentado e, possivelmente, o endereco mostrado no navegador Web a ser diferente do endereco correspondente ao site verdadeiro (mais detalhes na Secao 10.1.2 do a Captulo Uso seguro da Internet); acesse a p gina da instituicao que supostamente enviou a mensagem e procure por informacoes a (voc vai observar que n o faz parte da poltica da maioria das empresas o envio de mensagens, e a de forma indiscriminada, para os seus usu rios). a
2.3.1
Pharming
Pharming e um tipo especco de phishing que envolve a redirecao da navegacao do usu rio para a sites falsos, por meio de alteracoes no servico de DNS (Domain Name System). Neste caso, quando voc tenta acessar um site legtimo, o seu navegador Web e redirecionado, de forma transparente, para e uma p gina falsa. Esta redirecao pode ocorrer: a por meio do comprometimento do servidor de DNS do provedor que voc utiliza; e pela acao de c digos maliciosos projetados para alterar o comportamento do servico de DNS o do seu computador;
12
` pela acao direta de um invasor, que venha a ter acesso as conguracoes do servico de DNS do seu computador ou modem de banda larga. Prevencao: descone se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma acao suspeita, como abrir um arquivo ou tentar instalar um programa; descone imediatamente caso o site de com rcio eletr nico ou Internet Banking que voc est e o e a acessando n o utilize conex o segura. Sites con veis de com rcio eletr nico e Internet Banka a a e o ing sempre usam conex es seguras quando dados pessoais e nanceiros s o solicitados (mais o a detalhes na Secao 10.1.1 do Captulo Uso seguro da Internet); observe se o certicado apresentado corresponde ao do site verdadeiro (mais detalhes na Secao 10.1.2 do Captulo Uso seguro da Internet).
2.4
Golpes de com rcio eletr nico e o
Golpes de com rcio eletr nico s o aqueles nos quais golpistas, com o objetivo de obter vantagens e o a nanceiras, exploram a relacao de conanca existente entre as partes envolvidas em uma transacao comercial. Alguns destes golpes s o apresentados nas pr ximas secoes. a o
2.4.1
Golpe do site de com rcio eletr nico fraudulento e o
Neste golpe, o golpista cria um site fraudulento, com o objetivo especco de enganar os possveis clientes que, ap s efetuarem os pagamentos, n o recebem as mercadorias. o a Para aumentar as chances de sucesso, o golpista costuma utilizar artifcios como: enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar produtos muito procurados e com precos abaixo dos praticados pelo mercado. Al m do comprador, que paga mas n o recebe a mercadoria, este tipo de golpe pode ter outras e a vtimas, como: uma empresa s ria, cujo nome tenha sido vinculado ao golpe; e um site de compras coletivas, caso ele tenha intermediado a compra; uma pessoa, cuja identidade tenha sido usada para a criacao do site ou para abertura de empresas fantasmas. Prevencao: faca uma pesquisa de mercado, comparando o preco do produto exposto no site com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado;
13
pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini o de outros clientes; a acesse sites especializados em tratar reclamacoes de consumidores insatisfeitos, para vericar se h reclamacoes referentes a esta empresa; a que atento a propagandas recebidas atrav s de spam (mais detalhes no Captulo Spam); e seja cuidadoso ao acessar links patrocinados (mais detalhes na Secao 6.5 do Captulo Outros riscos); procure validar os dados de cadastro da empresa no site da Receita Federal4 ; n o informe dados de pagamento caso o site n o ofereca conex o segura ou n o apresente um a a a a certicado con vel (mais detalhes na Secao 10.1 do Captulo Uso seguro da Internet). a
2.4.2
Golpe envolvendo sites de compras coletivas
Sites de compras coletivas t m sido muito usados em golpes de sites de com rcio eletr nico fraue e o ` dulentos, como descrito na Secao 2.4.1. Al m dos riscos inerentes as relacoes comerciais cotidianas, e os sites de compras coletivas tamb m apresentam riscos pr prios, gerados principalmente pela press o e o a imposta ao consumidor em tomar decis es r pidas pois, caso contr rio, podem perder a oportunidade o a a de compra. Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras coletivas e, assim, conseguir grande quantidade de vtimas em um curto intervalo de tempo. Al m disto, sites de compras coletivas tamb m podem ser usados como tema de mensagens de e e phishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verdadeiro e, desta forma, tentam induzir o usu rio a acessar uma p gina falsa e a fornecer dados pessoais, a a como n mero de cart o de cr dito e senhas. u a e Prevencao: procure n o comprar por impulso apenas para garantir o produto ofertado; a seja cauteloso e faca pesquisas pr vias, pois h casos de produtos anunciados com desconto, e a mas que na verdade, apresentam valores superiores aos de mercado; pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opini o de outros clientes e observar se foi satisfat ria a forma como os possveis problemas a o foram resolvidos; siga as dicas apresentadas na Secao 2.3 para se prevenir de golpes envolvendo phishing; siga as dicas apresentadas na Secao 2.4.1 para se prevenir de golpes envolvendo sites de com r e cio eletr nico fraudulento. o
4 http://www.receita.fazenda.gov.br/.
14
2.4.3
Golpe do site de leil o e venda de produtos a
O golpe do site de leil o e venda de produtos e aquele, por meio do qual, um comprador ou a vendedor age de m -f e n o cumpre com as obrigacoes acordadas ou utiliza os dados pessoais e a e a nanceiros envolvidos na transacao comercial para outros ns. Por exemplo: o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de transfer ncia efetuada de uma conta banc ria ilegtima ou furtada; e a o vendedor tenta receber o pagamento sem efetuar a entrega da mercadoria ou a entrega danicada, falsicada, com caractersticas diferentes do anunciado ou adquirida de forma ilcita e criminosa (por exemplo, proveniente de contrabando ou de roubo de carga); o comprador ou o vendedor envia e-mails falsos, em nome do sistema de gerenciamento de pagamentos, como forma de comprovar a realizacao do pagamento ou o envio da mercadoria que, na realidade, n o foi feito. a Prevencao: faca uma pesquisa de mercado, comparando o preco do produto com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado; marque encontros em locais p blicos caso a entrega dos produtos seja feita pessoalmente; u acesse sites especializados em tratar reclamacoes de consumidores insatisfeitos e que os coloca em contato com os respons veis pela venda (voc pode avaliar se a forma como o problema foi a e resolvido foi satisfat ria ou n o); o a utilize sistemas de gerenciamento de pagamentos pois, al m de dicultarem a aplicacao dos e golpes, impedem que seus dados pessoais e nanceiros sejam enviados aos golpistas; procure conrmar a realizacao de um pagamento diretamente em sua conta banc ria ou pelo a site do sistema de gerenciamento de pagamentos (n o cone apenas em e-mails recebidos, pois a eles podem ser falsos); verique a reputacao do usu rio5 (muitos sites possuem sistemas que medem a reputacao a de compradores e vendedores, por meio da opini o de pessoas que j negociaram com este a a usu rio); a acesse os sites, tanto do sistema de gerenciamento de pagamentos como o respons vel pelas a vendas, diretamente do navegador, sem clicar em links recebidos em mensagens; mesmo que o vendedor lhe envie o c digo de rastreamento fornecido pelos Correios, n o utilize o a esta informacao para comprovar o envio e liberar o pagamento (at que voc tenha a mercadoria e e em m os n o h nenhuma garantia de que o que foi enviado e realmente o que foi solicitado). a a a
informacoes dos sistemas de reputacao, apesar de auxiliarem na selecao de usu rios, n o devem ser usadas como a a unica medida de prevencao, pois contas com reputacao alta s o bastante visadas para golpes de phishing. a
5 As
15
2.5
Boato (Hoax)
Um boato, ou hoax, e uma mensagem que possui conte do alarmante ou falso e que, u geralmente, tem como remetente, ou aponta como autora, alguma instituicao, empresa im a portante ou org o governamental. Por meio de uma leitura minuciosa de seu conte do, normalmente, u e possvel identicar informacoes sem sentido e tentativas de golpes, como correntes e pir mides. a Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, como para aqueles que s o citados em seus conte dos. Entre estes diversos problemas, um boato pode: a u conter c digos maliciosos; o espalhar desinformacao pela Internet; ocupar, desnecessariamente, espaco nas caixas de e-mails dos usu rios; a comprometer a credibilidade e a reputacao de pessoas ou entidades referenciadas na mensagem; comprometer a credibilidade e a reputacao da pessoa que o repassa pois, ao fazer isto, esta pessoa estar supostamente endossando ou concordando com o conte do da mensagem; a u aumentar excessivamente a carga de servidores de e-mail e o consumo de banda de rede, necess rios para a transmiss o e o processamento das mensagens; a a indicar, no conte do da mensagem, acoes a serem realizadas e que, se forem efetivadas, podem u resultar em s rios danos, como apagar um arquivo que supostamente cont m um c digo malie e o cioso, mas que na verdade e parte importante do sistema operacional instalado no computador. Prevencao: Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe, pois h uma grande tend ncia das pessoas em conar no remetente, n o vericar a proced ncia e n o a e a e a conferir a veracidade do conte do da mensagem. Para que voc possa evitar a distribuicao de boatos u e e muito importante conferir a proced ncia dos e-mails e, mesmo que tenham como remetente algu m e e conhecido, e preciso certicar-se de que a mensagem n o e um boato. a Um boato, geralmente, apresenta pelo menos uma das seguintes caractersticas6 : arma n o ser um boato; a sugere consequ ncias tr gicas caso uma determinada tarefa n o seja realizada; e a a promete ganhos nanceiros ou pr mios mediante a realizacao de alguma acao; e apresenta erros gramaticais e de ortograa; apresenta informacoes contradit rias; o
caractersticas devem ser usadas apenas como guia, pois podem existir boatos que n o apresentem nenhuma a delas, assim como podem haver mensagens legtimas que apresentem algumas.
6 Estas
16
enfatiza que ele deve ser repassado rapidamente para o maior n mero de pessoas; u j foi repassado diversas vezes (no corpo da mensagem, normalmente, e possvel observar caa becalhos de e-mails repassados por outras pessoas). Al m disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suciente e para localizar relatos e den ncias j feitas. E importante ressaltar que voc nunca deve repassar u a e boatos pois, ao fazer isto, estar endossando ou concordando com o seu conte do. a u
2.6
Prevencao
Outras dicas gerais para se proteger de golpes aplicados na Internet s o: a Notique: caso identique uma tentativa de golpe, e importante noticar a instituicao envolvida, para que ela possa tomar as provid ncias que julgar cabveis (mais detalhes na Secao 7.2 do e Captulo Mecanismos de seguranca). Mantenha-se informado: novas formas de golpes podem surgir, portanto e muito importante que voc se mantenha informado. Algumas fontes de informacao que voc pode consultar s o: e e a secoes de inform tica de jornais de grande circulacao e de sites de notcias que, normal a mente, trazem mat rias ou avisos sobre os golpes mais recentes; e sites de empresas mencionadas nas mensagens (algumas empresas colocam avisos em suas p ginas quando percebem que o nome da instituicao est sendo indevidamente usado); a a sites especializados que divulgam listas contendo os golpes que est o sendo aplicados e a seus respectivos conte dos. Alguns destes sites s o: u a Monitor das Fraudes http://www.fraudes.org/ (em portugu s) e Quatro Cantos http://www.quatrocantos.com/LENDAS/ (em portugu s) e Snopes.com - Urban Legends Reference Pages http://www.snopes.com/ (em ingl s) e Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html (em ingl s) e TruthOrFiction.com http://www.truthorfiction.com/ (em ingl s) e Urban Legends and Folklore http://urbanlegends.about.com/ (em ingl s) e
3. Ataques na Internet
Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas t cnicas. Qualquer servico, computador ou rede que seja acessvel via Internet pode ser alvo e ` de um ataque, assim como qualquer computador com acesso a Internet pode participar de um ataque. Os motivos que levam os atacantes a desferir ataques na Internet s o bastante diversos, variando a da simples divers o at a realizacao de acoes criminosas. Alguns exemplos s o: a e a Demonstracao de poder: mostrar a uma empresa que ela pode ser invadida ou ter os servicos sus pensos e, assim, tentar vender servicos ou chantage -la para que o ataque n o ocorra novamente. a a Prestgio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar servicos inacessveis ou desgurar sites considerados visados ou difceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior n mero de ataques ou ser o primeiro a conseguir atingir um determinado alvo. u Motivacoes nanceiras: coletar e utilizar informacoes condenciais de usu rios para aplicar golpes a (mais detalhes no Captulo Golpes na Internet). Motivacoes ideol gicas: tornar inacessvel ou invadir sites que divulguem conte do contr rio a opi o u a ` ni o do atacante; divulgar mensagens de apoio ou contr rias a uma determinada ideologia. a a
17
18
Motivacoes comerciais: tornar inacessvel ou invadir sites e computadores de empresas concorren tes, para tentar impedir o acesso dos clientes ou comprometer a reputacao destas empresas. Para alcancar estes objetivos os atacantes costumam usar t cnicas, como as descritas nas pr ximas e o secoes.
3.1
Exploracao de vulnerabilidades
Uma vulnerabilidade e denida como uma condicao que, quando explorada por um atacante, pode resultar em uma violacao de seguranca. Exemplos de vulnerabilidades s o falhas no projeto, na a implementacao ou na conguracao de programas, servicos ou equipamentos de rede. Um ataque de exploracao de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar acoes maliciosas, como invadir um sistema, acessar informacoes con denciais, disparar ataques contra outros computadores ou tornar um servico inacessvel.
3.2
Varredura em redes (Scan)
Varredura em redes, ou scan1 , e uma t cnica que consiste em efetuar buscas minuciosas em ree des, com o objetivo de identicar computadores ativos e coletar informacoes sobre eles como, por exemplo, servicos disponibilizados e programas instalados. Com base nas informacoes coletadas e possvel associar possveis vulnerabilidades aos servicos disponibilizados e aos programas instalados nos computadores ativos detectados. A varredura em redes e a exploracao de vulnerabilidades associadas podem ser usadas de forma: Legtima: por pessoas devidamente autorizadas, para vericar a seguranca de computadores e redes e, assim, tomar medidas corretivas e preventivas. Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos servicos disponibili zados e nos programas instalados para a execucao de atividades maliciosas. Os atacantes tamb m podem utilizar os computadores ativos detectados como potenciais alvos no processo e de propagacao autom tica de c digos maliciosos e em ataques de forca bruta (mais detalhes no a o Captulo C digos maliciosos (Malware) e na Secao 3.5, respectivamente). o
3.3
Falsicacao de e-mail (E-mail spoong)
Falsicacao de e-mail, ou e-mail spoong, e uma t cnica que consiste em alterar campos do ca e becalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
confunda scan com scam. Scams, com m, s o esquemas para enganar um usu rio, geralmente, com nalidade a a de obter vantagens nanceiras (mais detalhes no Captulo Golpes na Internet).
1 N o a
19
Esta t cnica e possvel devido a caractersticas do protocolo SMTP (Simple Mail Transfer Protoe col) que permitem que campos do cabecalho, como From: (endereco de quem enviou a mensagem), Reply-To (endereco de resposta da mensagem) e Return-Path (endereco para onde possveis erros no envio da mensagem s o reportados), sejam falsicados. a Ataques deste tipo s o bastante usados para propagacao de c digos maliciosos, envio de spam a o e em golpes de phishing. Atacantes utilizam-se de enderecos de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinat rios acreditem que elas a partiram de pessoas conhecidas. Exemplos de e-mails com campos falsicados s o aqueles recebidos como sendo: a de algu m conhecido, solicitando que voc clique em um link ou execute um arquivo anexo; e e do seu banco, solicitando que voc siga um link fornecido na pr pria mensagem e informe e o dados da sua conta banc ria; a do administrador do servico de e-mail que voc utiliza, solicitando informacoes pessoais e e ameacando bloquear a sua conta caso voc n o as envie. e a Voc tamb m pode j ter observado situacoes onde o seu pr prio endereco de e-mail foi indevidae e a o mente utilizado. Alguns indcios disto s o: a voc recebe respostas de e-mails que voc nunca enviou; e e voc recebe e-mails aparentemente enviados por voc mesmo, sem que voc tenha feito isto; e e e voc recebe mensagens de devolucao de e-mails que voc nunca enviou, reportando erros como e e usu rio desconhecido e caixa de entrada lotada (cota excedida). a
3.4
Interceptacao de tr fego (Snifng) a
Interceptacao de tr fego, ou snifng, e uma t cnica que consiste em inspecionar os dados trafega a e dos em redes de computadores, por meio do uso de programas especcos chamados de sniffers. Esta t cnica pode ser utilizada de forma: e Legtima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados. Maliciosa: por atacantes, para capturar informacoes sensveis, como senhas, n meros de cart o de u a cr dito e o conte do de arquivos condenciais que estejam trafegando por meio de conex es e u o inseguras, ou seja, sem criptograa. Note que as informacoes capturadas por esta t cnica s o armazenadas na forma como trafegam, e a ou seja, informacoes que trafegam criptografadas apenas ser o uteis ao atacante se ele conseguir a decodic -las (mais detalhes no Captulo Criptograa). a
20
3.5
Forca bruta (Brute force)
Um ataque de forca bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usu rio e senha e, assim, executar processos e acessar sites, computadores e servicos em nome e com a os mesmos privil gios deste usu rio. e a Qualquer computador, equipamento de rede ou servico que seja acessvel via Internet, com um nome de usu rio e uma senha, pode ser alvo de um ataque de forca bruta. Dispositivos m veis, que a o estejam protegidos por senha, al m de poderem ser atacados pela rede, tamb m podem ser alvo deste e e tipo de ataque caso o atacante tenha acesso fsico a eles. Se um atacante tiver conhecimento do seu nome de usu rio e da sua senha ele pode efetuar acoes a maliciosas em seu nome como, por exemplo: trocar a sua senha, dicultando que voc acesse novamente o site ou computador invadido; e ` invadir o servico de e-mail que voc utiliza e ter acesso ao conte do das suas mensagens e a e u sua lista de contatos, al m de poder enviar mensagens em seu nome; e acessar a sua rede social e enviar mensagens aos seus seguidores contendo c digos maliciosos o ou alterar as suas opcoes de privacidade; invadir o seu computador e, de acordo com as permiss es do seu usu rio, executar acoes, como o a apagar arquivos, obter informacoes condenciais e instalar c digos maliciosos. o Mesmo que o atacante n o consiga descobrir a sua senha, voc pode ter problemas ao acessar a a e sua conta caso ela tenha sofrido um ataque de forca bruta, pois muitos sistemas bloqueiam as contas quando v rias tentativas de acesso sem sucesso s o realizadas. a a Apesar dos ataques de forca bruta poderem ser realizados manualmente, na grande maioria dos casos, eles s o realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e a que permitem tornar o ataque bem mais efetivo. As tentativas de adivinhacao costumam ser baseadas em: dicion rios de diferentes idiomas e que podem ser facilmente obtidos na Internet; a listas de palavras comumente usadas, como personagens de lmes e nomes de times de futebol; substituicoes obvias de caracteres, como trocar a por @ e o por 0; sequ ncias num ricas e de teclado, como 123456, qwert e 1qaz2wsx; e e informacoes pessoais, de conhecimento pr vio do atacante ou coletadas na Internet em redes e sociais e blogs, como nome, sobrenome, datas e n meros de documentos. u Um ataque de forca bruta, dependendo de como e realizado, pode resultar em um ataque de ` negacao de servico, devido a sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno perodo de tempo (mais detalhes no Captulo Contas e senhas).
21
3.6
Desguracao de p gina (Defacement) a
Desguracao de p gina, defacement ou pichacao, e uma t cnica que consiste em alterar o conte do a e u da p gina Web de um site. a As principais formas que um atacante, neste caso tamb m chamado de defacer, pode utilizar para e desgurar uma p gina Web s o: a a explorar erros da aplicacao Web; explorar vulnerabilidades do servidor de aplicacao Web; explorar vulnerabilidades da linguagem de programacao ou dos pacotes utilizados no desenvol vimento da aplicacao Web; invadir o servidor onde a aplicacao Web est hospedada e alterar diretamente os arquivos que a comp em o site; o ` furtar senhas de acesso a interface Web usada para administracao remota. Para ganhar mais visibilidade, chamar mais atencao e atingir maior n mero de visitantes, geral u mente, os atacantes alteram a p gina principal do site, por m p ginas internas tamb m podem ser a e a e alteradas.
3.7
Negacao de servico (DoS e DDoS)
Negacao de servico, ou DoS (Denial of Service), e uma t cnica pela qual um atacante utiliza um e ` computador para tirar de operacao um servico, um computador ou uma rede conectada a Internet. Quando utilizada de forma coordenada e distribuda, ou seja, quando um conjunto de computadores e utilizado no ataque, recebe o nome de negacao de servico distribudo, ou DDoS (Distributed Denial of Service). O objetivo destes ataques n o e invadir e nem coletar informacoes, mas sim exaurir recursos e a causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados s o prejudicadas, pois cam impossibilitadas de acessar ou realizar as operacoes desejadas. a Nos casos j registrados de ataques, os alvos caram impedidos de oferecer servicos durante o a perodo em que eles ocorreram, mas, ao nal, voltaram a operar normalmente, sem que tivesse havido vazamento de informacoes ou comprometimento de sistemas ou computadores. Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, por m, participa dos ataques sem o conhee cimento de seu dono, por estar infectado e fazendo parte de botnets (mais detalhes na Secao 4.3 do Captulo C digos maliciosos (Malware)). o Ataques de negacao de servico podem ser realizados por diversos meios, como: pelo envio de grande quantidade de requisicoes para um servico, consumindo os recursos ne cess rios ao seu funcionamento (processamento, n mero de conex es simult neas, mem ria a u o a o e espaco em disco, por exemplo) e impedindo que as requisicoes dos demais usu rios sejam a atendidas;
22
pela geracao de grande tr fego de dados para uma rede, ocupando toda a banda disponvel e a tornando indisponvel qualquer acesso a computadores ou servicos desta rede; pela exploracao de vulnerabilidades existentes em programas, que podem fazer com que um determinado servico que inacessvel. Nas situacoes onde h saturacao de recursos, caso um servico n o tenha sido bem dimensionado, a a ele pode car inoperante ao tentar atender as pr prias solicitacoes legtimas. Por exemplo, um site de o transmiss o dos jogos da Copa de Mundo pode n o suportar uma grande quantidade de usu rios que a a a queiram assistir aos jogos nais e parar de funcionar.
3.8
Prevencao
O que dene as chances de um ataque na Internet ser ou n o bem sucedido e o conjunto de a medidas preventivas tomadas pelos usu rios, desenvolvedores de aplicacoes e administradores dos a computadores, servicos e equipamentos envolvidos. Se cada um zer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, ao menos, minimizados. A parte que cabe a voc , como usu rio da Internet, e proteger os seus dados, fazer uso dos mecae a nismos de protecao disponveis e manter o seu computador atualizado e livre de c digos maliciosos. o Ao fazer isto, voc estar contribuindo para a seguranca geral da Internet, pois: e a quanto menor a quantidade de computadores vulner veis e infectados, menor ser a pot ncia a a e das botnets e menos ecazes ser o os ataques de negacao de servico (mais detalhes na Secao 4.3, a do Captulo C digos maliciosos (Malware)); o quanto mais consciente dos mecanismos de seguranca voc estiver, menores ser o as chances e a de sucesso dos atacantes (mais detalhes no Captulo Mecanismos de seguranca); quanto melhores forem as suas senhas, menores ser o as chances de sucesso de ataques de forca a bruta e, consequentemente, de suas contas serem invadidas (mais detalhes no Captulo Contas e senhas); quanto mais os usu rios usarem criptograa para proteger os dados armazenados nos computaa dores ou aqueles transmitidos pela Internet, menores ser o as chances de tr fego em texto claro a a ser interceptado por atacantes (mais detalhes no Captulo Criptograa); quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores ser o a as chances de ele ser invadido ou infectado (mais detalhes no Captulo Seguranca de computa dores). Faca sua parte e contribua para a seguranca da Internet, incluindo a sua pr pria! o
4. C digos maliciosos (Malware) o
C digos maliciosos (malware) s o programas especicamente desenvolvidos para executar acoes o a danosas e atividades maliciosas em um computador. Algumas das diversas formas como os c digos o maliciosos podem infectar ou comprometer um computador s o: a pela exploracao de vulnerabilidades existentes nos programas instalados; pela auto-execucao de mdias removveis infectadas, como pen-drives; pelo acesso a p ginas Web maliciosas, utilizando navegadores vulner veis; a a pela acao direta de atacantes que, ap s invadirem o computador, incluem arquivos contendo o c digos maliciosos; o pela execucao de arquivos previamente infectados, obtidos em anexos de mensagens eletr ni o cas, via mdias removveis, em p ginas Web ou diretamente de outros computadores (atrav s do a e compartilhamento de recursos). Uma vez instalados, os c digos maliciosos passam a ter acesso aos dados armazenados no como putador e podem executar acoes em nome dos usu rios, de acordo com as permiss es de cada usu rio. a o a
23
24
Os principais motivos que levam um atacante a desenvolver e a propagar c digos maliciosos s o a o a obtencao de vantagens nanceiras, a coleta de informacoes condenciais, o desejo de autopromocao e o vandalismo. Al m disto, os c digos maliciosos s o muitas vezes usados como intermedi rios e e o a a possibilitam a pr tica de golpes, a realizacao de ataques e a disseminacao de spam (mais detalhes nos a Captulos Golpes na Internet, Ataques na Internet e Spam, respectivamente). Os principais tipos de c digos maliciosos existentes s o apresentados nas pr ximas secoes. o a o
4.1
Vrus
Vrus e um programa ou parte de um programa de computa dor, normalmente malicioso, que se propaga inserindo c pias de si o mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infeccao, o vrus depende da execucao do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado e preciso que um programa j infectado seja executado. a O principal meio de propagacao de vrus costumava ser os disquetes. Com o tempo, por m, estas e mdias caram em desuso e comecaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mdias removveis tornaram-se novamente o principal meio de propagacao, n o mais por disquetes, a mas, principalmente, pelo uso de pen-drives. H diferentes tipos de vrus. Alguns procuram permanecer ocultos, infectando arquivos do disco a e executando uma s rie de atividades sem o conhecimento do usu rio. H outros que permanecem e a a inativos durante certos perodos, entrando em atividade apenas em datas especcas. Alguns dos tipos de vrus mais comuns s o: a Vrus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conte do tenta u induzir o usu rio a clicar sobre este arquivo, fazendo com que seja executado. Quando entra a em acao, infecta arquivos e programas e envia c pias de si mesmo para os e-mails encontrados o nas listas de contatos gravadas no computador. Vrus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma p gina Web ou por e-mail, como um arquivo anexo ou como parte do pr prio e-mail escrito a o em formato HTML. Pode ser automaticamente executado, dependendo da conguracao do navegador Web e do programa leitor de e-mails do usu rio. a Vrus de macro: tipo especco de vrus de script, escrito em linguagem de macro, que tenta infec tar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que comp e o Microsoft Ofce (Excel, Word e PowerPoint, entre outros). o Vrus de telefone celular: vrus que se propaga de celular para celular por meio da tecnologia blue tooth ou de mensagens MMS (Multimedia Message Service). A infeccao ocorre quando um usu rio permite o recebimento de um arquivo infectado e o executa. Ap s infectar o celular, o a o vrus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligacoes telef nicas e drenar a carga da bateria, al m de tentar se propagar para outros celulares. o e
4. Codigos maliciosos (Malware)
25
4.2
Worm
Worm e um programa capaz de se propagar automaticamente pelas redes, enviando c pias de si mesmo de computador para computador. o Diferente do vrus, o worm n o se propaga por meio da inclus o a a de c pias de si mesmo em outros programas ou arquivos, mas sim pela o execucao direta de suas c pias ou pela exploracao autom tica de vulnera o a bilidades existentes em programas instalados em computadores. ` Worms s o notadamente respons veis por consumir muitos recursos, devido a grande quantidade a a de c pias de si mesmo que costumam propagar e, como consequ ncia, podem afetar o desempenho o e de redes e a utilizacao de computadores. O processo de propagacao e infeccao dos worms ocorre da seguinte maneira: a. Identicacao dos computadores alvos: ap s infectar um computador, o worm tenta se propa o gar e continuar o processo de infeccao. Para isto, necessita identicar os computadores alvos para os quais tentar se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: a efetuar varredura na rede e identicar computadores ativos; aguardar que outros computadores contatem o computador infectado; utilizar listas, predenidas ou obtidas na Internet, contendo a identicacao dos alvos; utilizar informacoes contidas no computador infectado, como arquivos de conguracao e listas de enderecos de e-mail. b. Envio das c pias: ap s identicar os alvos, o worm efetua c pias de si mesmo e tenta envi -las o o o a para estes computadores, por uma ou mais das seguintes formas: como parte da exploracao de vulnerabilidades existentes em programas instalados no com putador alvo; anexadas a e-mails; via canais de IRC (Internet Relay Chat); via programas de troca de mensagens instant neas; a includas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). c. Ativacao das c pias: ap s realizado o envio da c pia, o worm necessita ser executado para que o o o a infeccao ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: imediatamente ap s ter sido transmitido, pela exploracao de vulnerabilidades em prograo mas sendo executados no computador alvo no momento do recebimento da c pia; o diretamente pelo usu rio, pela execucao de uma das c pias enviadas ao seu computador; a o pela realizacao de uma acao especca do usu rio, a qual o worm est condicionado como, a a por exemplo, a insercao de uma mdia removvel. d. Reincio do processo: ap s o alvo ser infectado, o processo de propagacao e infeccao reco o meca, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tamb m o e computador originador dos ataques.
26
4.3
Bot e botnet
Bot e um programa que disp e de mecanismos de comunicao cao com o invasor que permitem que ele seja controlado remota mente. Possui processo de infeccao e propagacao similar ao do worm, ou seja, e capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicacao entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instrucoes para que acoes maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Tamb m pode ser chamado de spam zombie quando o bot instalado o e transforma em um servidor de e-mails e o utiliza para o envio de spam. Botnet e uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as acoes danosas executadas pelos bots. Quanto mais zumbis participarem da botnet mais potente ela ser . O a atacante que a controlar, al m de us e a la para seus pr prios ataques, tamb m o e pode alug -la para outras pessoas ou a grupos que desejem que uma acao ma liciosa especca seja executada. Algumas das acoes maliciosas que costumam ser executadas por interm dio de botnets s o: ata e a ques de negacao de servico, propagacao de c digos maliciosos (inclusive do pr prio bot), coleta de o o informacoes de um grande n mero de computadores, envio de spam e camuagem da identidade do u atacante (com o uso de proxies instalados nos zumbis). O esquema simplicado apresentado a seguir exemplica o funcionamento b sico de uma botnet: a a. Um atacante propaga um tipo especco de bot na esperanca de infectar e conseguir a maior quantidade possvel de zumbis; ` b. os zumbis cam ent o a disposicao do atacante, agora seu controlador, a espera dos comandos a ` a serem executados; c. quando o controlador deseja que uma acao seja realizada, ele envia aos zumbis os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; d. os zumbis executam ent o os comandos recebidos, durante o perodo predeterminado pelo cona trolador; ` e. quando a acao se encerra, os zumbis voltam a car a espera dos pr ximos comandos a serem o executados.
27
4.4
Spyware
Spyware e um programa projetado para monitorar as atividades de um sistema e enviar as informacoes coletadas para terceiros. Pode ser usado tanto de forma legtima quanto maliciosa, de pendendo de como e instalado, das acoes realizadas, do tipo de informacao monitorada e do uso que e feito por quem recebe as informacoes coletadas. Pode ser considerado de uso: Legtimo: quando instalado em um computador pessoal, pelo pr prio dono ou com consentimento o deste, com o objetivo de vericar se outras pessoas o est o utilizando de modo abusivo ou n o a a autorizado. Malicioso: quando executa acoes que podem comprometer a privacidade do usu rio e a seguranca a ` do computador, como monitorar e capturar informacoes referentes a navegacao do usu rio ou a inseridas em outros programas (por exemplo, conta de usu rio e senha). a Alguns tipos especcos de programas spyware s o: a
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usu rio no teclado do computador. Sua ativacao, em muitos casos, e a condicionada a uma acao pr via do usu rio, como o acesso a um site e a especco de com rcio eletr nico ou de Internet Banking. e o
Screenlogger: similar ao keylogger, capaz de armazenar a posicao do cursor e a tela apresentada no monitor, nos momentos em que o mouse e clicado, ou a regi o que circunda a posicao onde o mouse e clicado. E bastante utilizado por a atacantes para capturar as teclas digitadas pelos usu rios em teclados virtuais, a disponveis principalmente em sites de Internet Banking.
Adware: projetado especicamente para apresentar propagandas. Pode ser usado para ns legtimos, quando incorporado a programas e servicos, como forma de patrocnio ou retorno nanceiro para quem de senvolve programas livres ou presta servicos gratuitos. Tamb m pode e ser usado para ns maliciosos, quando as propagandas apresentadas s o direcionadas, de acordo com a navegacao do usu rio e sem que a a este saiba que tal monitoramento est sendo feito. a
28
4.5
Backdoor
Backdoor e um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclus o de servicos a criados ou modicados para este m. Pode ser includo pela acao de outros c digos maliciosos, que tenham previameno te infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Ap s includo, o backdoor e usado para assegurar o acesso futuro ao computador comprometido, o permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos m todos utilizados na realizacao da invas o ou infeccao e, na maioria dos casos, sem que seja notado. e a A forma usual de inclus o de um backdoor consiste na disponibilizacao de um novo servico ou a na substituicao de um determinado servico por uma vers o alterada, normalmente possuindo recursos a que permitem o acesso remoto. Programas de administracao remota, como BackOrice, NetBus, Sub Seven, VNC e Radmin, se mal congurados ou utilizados sem o consentimento do usu rio, tamb m a e podem ser classicados como backdoors. H casos de backdoors includos propositalmente por fabricantes de programas, sob alegacao de a necessidades administrativas. Esses casos constituem uma s ria ameaca a seguranca de um compue ` tador que contenha um destes programas instalados pois, al m de comprometerem a privacidade do e usu rio, tamb m podem ser usados por invasores para acessarem remotamente o computador. a e
4.6
Cavalo de troia (Trojan)
Cavalo de troia1 , trojan ou trojan-horse, e um programa que, al m e de executar as funcoes para as quais foi aparentemente projetado, tamb m executa outras funcoes, normalmente maliciosas, e sem o coe nhecimento do usu rio. a Exemplos de trojans s o programas que voc recebe ou obt m de sites na Internet e que parecem a e e ser apenas cart es virtuais animados, albuns de fotos, jogos e protetores de tela, entre outros. Estes o programas, geralmente, consistem de um unico arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans tamb m podem ser instalados por atacantes que, ap s invadirem um computador, alteram e o programas j existentes para que, al m de continuarem a desempenhar as funcoes originais, tamb m a e e executem acoes maliciosas. H diferentes tipos de trojans, classicados2 de acordo com as acoes maliciosas que costumam a executar ao infectar um computador. Alguns destes tipos s o: a
Cavalo de Troia, segundo a mitologia grega, foi uma grande est tua, utilizada como instrumento de guerra pelos a ` gregos para obter acesso a cidade de Troia. A est tua do cavalo foi recheada com soldados que, durante a noite, abriram a os port es da cidade possibilitando a entrada dos gregos e a dominacao de Troia. o 2 Esta classicacao baseia-se em colet nea feita sobre os nomes mais comumente usados pelos programas antimalware. a
1O
29
Trojan Downloader: instala outros c digos maliciosos, obtidos de sites na Internet. o Trojan Dropper: instala outros c digos maliciosos, embutidos no pr prio c digo do trojan. o o o Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. Trojan DoS: instala ferramentas de negacao de servico e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diret rios, formata o disco rgido e pode deixar o como putador fora de operacao. Trojan Clicker: redireciona a navegacao do usu rio para sites especcos, com o objetivo de aumen a tar a quantidade de acessos a estes sites ou apresentar propagandas. Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegacao an nima e para envio de spam. o Trojan Spy: instala programas spyware e os utiliza para coletar informacoes sensveis, como senhas e n meros de cart o de cr dito, e envi -las ao atacante. u a e a Trojan Banker ou Bancos: coleta dados banc rios do usu rio, atrav s da instalacao de programas a a e spyware que s o ativados quando sites de Internet Banking s o acessados. E similar ao Trojan a a Spy por m com objetivos mais especcos. e
4.7
Rootkit
Rootkit3 e um conjunto de programas e t cnicas que permite ese conder e assegurar a presenca de um invasor ou de outro c digo ma o licioso em um computador comprometido. O conjunto de programas e t cnicas fornecido pelos rootkits pode ser usado para: e remover evid ncias em arquivos de logs (mais detalhes na Secao 7.6 do Captulo Mecanismos e de seguranca); instalar outros c digos maliciosos, como backdoors, para assegurar o acesso futuro ao compuo tador infectado; esconder atividades e informacoes, como arquivos, diret rios, processos, chaves de registro, o conex es de rede, etc; o mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; capturar informacoes da rede onde o computador comprometido est localizado, pela intercep a tacao de tr fego. a
` termo rootkit origina-se da juncao das palavras root (que corresponde a conta de superusu rio ou administrador a do computador em sistemas Unix) e kit (que corresponde ao conjunto de programas usados para manter os privil gios e de acesso desta conta).
3O
30
E muito importante ressaltar que o nome rootkit n o indica que os programas e as t cnicas que o a e comp e s o usadas para obter acesso privilegiado a um computador, mas sim para mant -lo. o a e Rootkits inicialmente eram usados por atacantes que, ap s invadirem um computador, os instalao vam para manter o acesso privilegiado, sem precisar recorrer novamente aos m todos utilizados na e invas o, e para esconder suas atividades do respons vel e/ou dos usu rios do computador. Apesar a a a de ainda serem bastante usados por atacantes, os rootkits atualmente t m sido tamb m utilizados e e e incorporados por outros c digos maliciosos para carem ocultos e n o serem detectados pelo usu rio o a a e nem por mecanismos de protecao. H casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m sica, a u sob a alegacao de necessidade de protecao aos direitos autorais de suas obras. A instalacao nestes casos costumava ocorrer de forma autom tica, no momento em que um dos CDs distribudos cona tendo o c digo malicioso era inserido e executado. E importante ressaltar que estes casos constituem o uma s ria ameaca a seguranca do computador, pois os rootkits instalados, al m de comprometerem a e ` e privacidade do usu rio, tamb m podem ser recongurados e utilizados para esconder a presenca e os a e arquivos inseridos por atacantes ou por outros c digos maliciosos. o
4.8
Prevencao
Para manter o seu computador livre da acao dos c digos maliciosos existe um conjunto de medidas o preventivas que voc precisa adotar. Essas medidas incluem manter os programas instalados com e as vers es mais recentes e com todas as atualizacoes disponveis aplicadas e usar mecanismos de o seguranca, como antimalware e rewall pessoal. Al m disso, h alguns cuidados que voc e todos que usam o seu computador devem tomar sempre e a e que forem manipular arquivos. Novos c digos maliciosos podem surgir, a velocidades nem sempre o acompanhadas pela capacidade de atualizacao dos mecanismos de seguranca. Informacoes sobre os principais mecanismos de seguranca que voc deve utilizar s o apresenta e a dos no Captulo Mecanismos de seguranca. Outros cuidados que voc deve tomar para manter seu e computador seguro s o apresentados no Captulo Seguranca de computadores. a
4.9
Resumo comparativo
Cada tipo de c digo malicioso possui caractersticas pr prias que o dene e o diferencia dos o o demais tipos, como forma de obtencao, forma de instalacao, meios usados para propagacao e acoes maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classicacao e a conceituacao, a Tabela 4.1 apresenta um resumo comparativo das caractersticas de cada tipo. E importante ressaltar, entretanto, que denir e identicar essas caractersticas t m se tornado e ` tarefas cada vez mais difceis, devido as diferentes classicacoes existentes e ao surgimento de vari antes que mesclam caractersticas dos demais c digos. Desta forma, o resumo apresentado na tabela o n o e denitivo e baseia-se nas denicoes apresentadas nesta Cartilha. a
31
C digos Maliciosos o Spyware Backdoor Trojan Worm Rootkit
Vrus
Como e obtido: Recebido automaticamente pela rede Recebido por e-mail Baixado de sites na Internet Compartilhamento de arquivos Uso de mdias removveis infectadas Redes sociais Mensagens instant neas a Inserido por um invasor Acao de outro c digo malicioso o Como ocorre a instalacao: Execucao de um arquivo infectado Execucao explcita do c digo malicioso o Via execucao de outro c digo malicioso o Exploracao de vulnerabilidades Como se propaga: Insere c pia de si pr prio em arquivos o o Envia c pia de si pr prio automaticamente pela rede o o Envia c pia de si pr prio automaticamente por e-mail o o N o se propaga a Acoes maliciosas mais comuns: Altera e/ou remove arquivos Consome grande quantidade de recursos Furta informacoes sensveis Instala outros c digos maliciosos o Possibilita o retorno do invasor Envia spam e phishing Desfere ataques na Internet Procura se manter escondido

Bot

Tabela 4.1: Resumo comparativo entre os c digos maliciosos. o
5. Spam
Spam1 e o termo usado para se referir aos e-mails n o solicitados, que geralmente s o enviados a a para um grande n mero de pessoas. Quando este tipo de mensagem possui conte do exclusivamente u u comercial tamb m e referenciado como UCE (Unsolicited Commercial E-mail). e O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada na caixa de correio, o paneto recebido na esquina e a ligacao telef nica ofertando produtos. Por m, o e o que o difere e justamente o que o torna t o atraente e motivante para quem o envia (spammer): a ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco, ou at mesmo nada, para alcancar os mesmos objetivos e em uma e escala muito maior. Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr tica tem evoludo, acoma panhando o desenvolvimento da Internet e de novas aplicacoes e tecnologias. Atualmente, o envio de spam e uma pr tica que causa preocupacao, tanto pelo aumento desenfreado do volume de mensagens a na rede, como pela natureza e pelos objetivos destas mensagens.
mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comit Gestor da Internet e no Brasil (CGI.br), que constitui uma fonte de refer ncia sobre o spam e tem o compromisso de informar usu rios e e a administradores de redes sobre as implicacoes destas mensagens e as formas de protecao e de combate existentes.
1 Para
33
34
` Spams est o diretamente associados a ataques a seguranca da a Internet e do usu rio, sendo um dos grandes respons veis pela a a propagacao de c digos maliciosos, disseminacao de golpes e venda o ilegal de produtos. Algumas das formas como voc pode ser afetado pelos problemas e causados pelos spams s o: a Perda de mensagens importantes: devido ao grande volume de spam recebido, voc corre o risco e de n o ler mensagens importantes, l -las com atraso ou apag -las por engano. a e a Conteudo impr prio ou ofensivo: como grande parte dos spams s o enviados para conjuntos aleao a t rios de enderecos de e-mail, e bastante prov vel que voc receba mensagens cujo conte do o a e u considere impr prio ou ofensivo. o Gasto desnecess rio de tempo: para cada spam recebido, e necess rio que voc gaste um tempo a a e para l -lo, identic -lo e remov -lo da sua caixa postal, o que pode resultar em gasto desnee a e cess rio de tempo e em perda de produtividade. a N o recebimento de e-mails: caso o n mero de spams recebidos seja grande e voc utilize um a u e servico de e-mail que limite o tamanho de caixa postal, voc corre o risco de lotar a sua area de e e-mail e, at que consiga liberar espaco, car impedido de receber novas mensagens. e a Classicacao errada de mensagens: caso utilize sistemas de ltragem com regras antispam ineci entes, voc corre o risco de ter mensagens legtimas classicadas como spam e que, de acordo e com as suas conguracoes, podem ser apagadas, movidas para quarentena ou redirecionadas para outras pastas de e-mail. ` Independente do tipo de acesso a Internet usado, e o destinat rio a do spam quem paga pelo envio da mensagem. Os provedores, para tentar minimizar os problemas, provisionam mais recursos computacionais e os custos derivados acabam sendo transferidos e incorporados ao valor mensal que os usu rios pagam. a Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s o: a Impacto na banda: o volume de tr fego gerado pelos spams faz com que seja necess rio aumentar a a a capacidade dos links de conex o com a Internet. a M utilizacao dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de proa cessamento e espaco em disco, s o consumidos no tratamento de mensagens n o solicitadas. a a Inclus o em listas de bloqueio: um provedor que tenha usu rios envolvidos em casos de envio de a a spam pode ter a rede includa em listas de bloqueio, o que pode prejudicar o envio de e-mails por parte dos demais usu rios e resultar em perda de clientes. a Investimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess rio a aumentar os investimentos, para a aquisicao de equipamentos e sistemas de ltragem e para a contratacao de mais t cnicos especializados na sua operacao. e
5. Spam
35
Os spammers utilizam diversas t cnicas para coletar enderecos de e-mail, desde a compra de e bancos de dados at a producao de suas pr prias listas, geradas a partir de: e o Ataques de dicion rio: consistem em formar enderecos de e-mail a partir de listas de nomes de a pessoas, de palavras presentes em dicion rios e/ou da combinacao de caracteres alfanum ricos. a e C digos maliciosos: muitos c digos maliciosos s o projetados para varrer o computador infectado o o a em busca de enderecos de e-mail que, posteriormente, s o repassados para os spammers. a Harvesting: consiste em coletar enderecos de e-mail por meio de varreduras em p ginas Web e arqui a vos de listas de discuss o, entre outros. Para tentar combater esta t cnica, muitas p ginas Web a e a e listas de discuss o apresentam os enderecos de forma ofuscada (por exemplo, substituindo o a @ por (at) e os pontos pela palavra dot). Infelizmente, tais substituicoes s o previstas a por v rios dos programas que implementam esta t cnica. a e Ap s efetuarem a coleta, os spammers procuram conrmar a o exist ncia dos enderecos de e-mail e, para isto, costumam se utilie zar de artifcios, como:
enviar mensagens para os enderecos coletados e, com base nas respostas recebidas dos servido res de e-mail, identicar quais enderecos s o v lidos e quais n o s o; a a a a incluir no spam um suposto mecanismo para a remocao da lista de e-mails, como um link ou um endereco de e-mail (quando o usu rio solicita a remocao, na verdade est conrmando para a a a o spammer que aquele endereco de e-mail e v lido e realmente utilizado); incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p gina a Web ou e-mail (quando o usu rio abre o spam, o Web bug e acessado e o spammer recebe a a a conrmacao que aquele endereco de e-mail e v lido).
5.1
Prevencao
E muito importante que voc saiba como identicar os spams, e para poder detect -los mais facilmente e agir adequadamente. As a principais caractersticas2 dos spams s o: a Apresentam cabecalho suspeito: o cabecalho do e-mail aparece incompleto, por exemplo, os cam pos de remetente e/ou destinat rio aparecem vazios ou com apelidos/nomes gen ricos, como a e amigo@ e suporte@. Apresentam no campo Assunto (Subject) palavras com graa errada ou suspeita: a maioria dos ltros antispam utiliza o conte do deste campo para barrar e-mails com assuntos considerados u suspeitos. No entanto, os spammers adaptam-se e tentam enganar os ltros colocando neste campo conte dos enganosos, como vi@gra (em vez de viagra). u
ressaltar que nem todas essas caractersticas podem estar presentes ao mesmo tempo, em um mesmo spam. Da ` mesma forma, podem existir spams que n o atendam as propriedades citadas, podendo, eventualmente, ser um novo tipo. a
2 Vale
36
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os ltros antispam e de atrair a atencao dos usu rios, os spammers costumam colocar textos alarmantes, a atraentes ou vagos demais, como Sua senha est invlida, A informaco que voc a a a e pediu e Parabns. e Oferecem opcao de remocao da lista de divulgacao: alguns spams tentam justicar o abuso, ale gando que e possvel sair da lista de divulgacao, clicando no endereco anexo ao e-mail. Este artifcio, por m, al m de n o retirar o seu endereco de e-mail da lista, tamb m serve para validar e e a e que ele realmente existe e que e lido por algu m. e Prometem que ser o enviados uma unica vez: ao alegarem isto, sugerem que n o e necess rio a a a que voc tome alguma acao para impedir que a mensagem seja novamente enviada. e Baseiam-se em leis e regulamentacoes inexistentes: muitos spams tentam embasar o envio em leis ` a e regulamentacoes brasileiras referentes a pr tica de spam que, at o momento de escrita desta e Cartilha, n o existem. a Alguns cuidados que voc deve tomar para tentar reduzir a quantidade de spams recebidos s o: e a procure ltrar as mensagens indesejadas, por meio de programas instalados em servidores ou em seu computador e de sistemas integrados a Webmails e leitores de e-mails. E interessante consultar o seu provedor de e-mail, ou o administrador de sua rede, para vericar os recursos existentes e como us -los; a alguns Webmails usam ltros baseados em tira-teima, onde e exigido do remetente a con rmacao do envio (ap s conrm -la, ele e includo em uma lista de remetentes autorizados o a e, a partir da, pode enviar e-mails livremente). Ao usar esses sistemas, procure autorizar previamente os remetentes desej veis, incluindo f runs e listas de discuss o, pois nem todos a o a conrmam o envio e, assim, voc pode deixar de receber mensagens importantes; e muitos ltros colocam as mensagens classicadas como spam em quarentena. E importante que voc , de tempos em tempos, verique esta pasta, pois podem acontecer casos de falsos positivos e e mensagens legtimas virem a ser classicadas como spam. Caso voc , mesmo usando ltros, e receba um spam, deve classic -lo como tal, pois estar ajudando a treinar o ltro; a a seja cuidadoso ao fornecer seu endereco de e-mail. Existem situacoes onde n o h motivo para a a que o seu e-mail seja fornecido. Ao preencher um cadastro, por exemplo, pense se e realmente necess rio fornecer o seu e-mail e se voc deseja receber mensagens deste local; a e que atento a opcoes pr -selecionadas. Em alguns formul rios ou cadastros preenchidos pela e a Internet, existe a pergunta se voc quer receber e-mails, por exemplo, sobre promocoes e lancae mentos de produtos, cuja resposta j vem marcada como armativa. Fique atento a esta quest o a a e desmarque-a, caso n o deseje receber este tipo de mensagem; a n o siga links recebidos em spams e n o responda mensagens deste tipo (estas acoes podem a a a servir para conrmar que seu e-mail e v lido); desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser acessada pode servir para conrmar que a mensagem foi lida); crie contas de e-mail secund rias e forneca-as em locais onde as chances de receber spam s o a a grandes, como ao preencher cadastros em lojas e em listas de discuss o; a
5. Spam
37
utilize as opcoes de privacidade das redes sociais (algumas redes permitem esconder o seu endereco de e-mail ou restringir as pessoas que ter o acesso a ele); a respeite o endereco de e-mail de outras pessoas. Use a opcao de Bcc: ao enviar e-mail para grandes quantidades de pessoas. Ao encaminhar mensagens, apague a lista de antigos destinat rios, pois mensagens reencaminhadas podem servir como fonte de coleta para spammers. a
6. Outros riscos
` Atualmente, devido a grande quantidade de servicos disponveis, a maioria das acoes dos usu rios a na Internet s o executadas pelo acesso a p ginas Web, seja pelo uso de navegadores ou de programas a a leitores de e-mails com capacidade de processar mensagens em formato HTML. Para atender a grande demanda, incorporar maior funcionalidade e melhorar a apar ncia das e p ginas Web, novos recursos de navegacao foram desenvolvidos e novos servicos foram disponia bilizados. Estes novos recursos e servicos, infelizmente, n o passaram despercebidos por pessoas a mal-intencionadas, que viram neles novas possibilidades para coletar informacoes e aplicar golpes. Alguns destes recursos e servicos, os riscos que representam e os cuidados que voc deve tomar ao e utiliz -los s o apresentados nas Secoes 6.1, 6.2, 6.3, 6.4, 6.5 e 6.6. a a ` Al m disto, a grande quantidade de computadores conectados a rede propiciou e facilitou o come partilhamento de recursos entre os usu rios, seja por meio de programas especcos ou pelo uso de a opcoes oferecidas pelos pr prios sistemas operacionais. Assim como no caso dos recursos e servicos o Web, o compartilhamento de recursos tamb m pode representar riscos e necessitar de alguns cuidados e especiais, que s o apresentados nas Secoes 6.7 e 6.8. a
39
40
6.1
Cookies
Cookies s o pequenos arquivos que s o gravados em seu computador quando voc acessa sites na a a e Internet e que s o reenviados a estes mesmos sites quando novamente visitados. S o usados para mana a ter informacoes sobre voc , como carrinho de compras, lista de produtos e prefer ncias de navegacao. e e Um cookie pode ser tempor rio (de sess o), quando e apagado no momento em que o navegaa a dor Web ou programa leitor de e-mail e fechado, ou permanente (persistente), quando ca gravado no computador at expirar ou ser apagado. Tamb m pode ser prim rio (rst-party), quando dee e a nido pelo domnio do site visitado, ou de terceiros (third-party), quando pertencente a outro domnio ` a (geralmente relacionado a an ncios ou imagens incorporados a p gina que est sendo visitada). u a Alguns dos riscos relacionados ao uso de cookies s o: a Compartilhamento de informacoes: as informacoes coletadas pelos cookies podem ser indevida mente compartilhadas com outros sites e afetar a sua privacidade. N o e incomum, por exemplo, a acessar pela primeira vez um site de m sica e observar que as ofertas de CDs para o seu g nero u e musical preferido j est o disponveis, sem que voc tenha feito qualquer tipo de escolha. a a e Exploracao de vulnerabilidades: quando voc acessa uma p gina Web, o seu navegador disponibi e a liza uma s rie de informacoes sobre o seu computador, como hardware, sistema operacional e e programas instalados. Os cookies podem ser utilizados para manter refer ncias contendo estas e informacoes e us -las para explorar possveis vulnerabilidades em seu computador. a Autenticacao autom tica: ao usar opcoes como Lembre-se de mim e Continuar conectado nos a sites visitados, informacoes sobre a sua conta de usu rio s o gravadas em cookies e usadas em a a autenticacoes futuras. Esta pr tica pode ser arriscada quando usada em computadores infecta a dos ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se autentiquem como voc . e Coleta de informacoes pessoais: dados preenchidos por voc em formul rios Web tamb m podem e a e ser gravados em cookies, coletados por atacantes ou c digos maliciosos e indevidamente aceso sados, caso n o estejam criptografados. a Coleta de h bitos de navegacao: quando voc acessa diferentes sites onde s o usados cookies de a e a terceiros, pertencentes a uma mesma empresa de publicidade, e possvel a esta empresa deter minar seus h bitos de navegacao e, assim, comprometer a sua privacidade. a Prevencao: N o e indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso adea quado ou at mesmo o acesso a determinados sites e servicos. Para se prevenir dos riscos, mas sem e comprometer a sua navegacao, h algumas dicas que voc deve seguir, como: a e ao usar um navegador Web baseado em nveis de permiss o, como o Internet Explorer, procure a n o selecionar nveis de permiss o inferiores a m dio; a a e em outros navegadores ou programas leitores de e-mail, congure para que, por padr o, os sites a n o possam denir cookies e crie listas de excecoes, cadastrando sites considerados con veis e a a onde o uso de cookies e realmente necess rio, como Webmails e de Internet Banking e com rcio a e eletr nico; o
6. Outros riscos
41
caso voc , mesmo ciente dos riscos, decida permitir que por padr o os sites possam denir e a cookies, procure criar uma lista de excecoes e nela cadastre os sites que deseja bloquear; congure para que os cookies sejam apagados assim que o navegador for fechado; congure para n o aceitar cookies de terceiros (ao fazer isto, a sua navegacao n o dever ser a a a prejudicada, pois apenas conte dos relacionados a publicidade ser o bloqueados); u a utilize opcoes de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto, informacoes sobre a sua navegacao, incluindo cookies, n o ser o gravadas). a a Veja que, quando voc altera uma conguracao de privacidade ela e aplicada aos novos cookies, e mas n o aos que j est o gravados em seu computador. Assim, ao fazer isto, e importante que voc a a a e remova os cookies j gravados para garantir que a nova conguracao seja aplicada a todos. a
6.2
C digos m veis o o
C digos m veis s o utilizados por desenvolvedores para incorporar maior funcionalidade e meo o a lhorar a apar ncia de p ginas Web. Embora sejam bastante uteis, podem representar riscos quando e a mal-implementados ou usados por pessoas mal-intencionadas. Alguns tipos de c digos m veis e os riscos que podem representar s o: o o a Programas e applets Java: normalmente os navegadores cont m m dulos especcos para processar e o programas Java que, apesar de possurem mecanismos de seguranca, podem conter falhas de implementacao e permitir que um programa Java hostil viole a seguranca do computador. JavaScripts: assim como outros scripts Web, podem ser usados para causar violacoes de seguranca em computadores. Um exemplo de ataque envolvendo JavaScript consiste em redirecionar usu rios de um site legtimo para um site falso, para que instalem c digos maliciosos ou a o fornecam informacoes pessoais. Componentes (ou controles) ActiveX: o navegador Web, pelo esquema de certicados digitais, verica a proced ncia de um componente ActiveX antes de receb -lo. Ao aceitar o certicado, o e e componente e executado e pode efetuar qualquer tipo de acao, desde enviar um arquivo pela In ternet at instalar programas (que podem ter ns maliciosos) em seu computador (mais detalhes e sobre certicados digitais s o apresentados na Secao 9.4 do Captulo Criptograa). a Prevencao: Assim como no caso de cookies, n o e indicado bloquear totalmente a execucao dos c digos a o m veis, pois isto pode afetar o acesso a determinados sites e servicos. Para se prevenir dos riscos, o mas sem comprometer a sua navegacao, h algumas dicas que voc deve seguir, como: a e permita a execucao de programas Java e de JavaScripts mas assegure-se de utilizar comple mentos, como por exemplo o NoScript (disponvel para alguns navegadores), para liberar gra dualmente a execucao, conforme necess rio e apenas em sites con veis; a a
42
permita que componentes ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e con veis; a seja cuidadoso ao permitir a instalacao de componentes n o assinados (mais detalhes na Se a cao 9.3 do Captulo Criptograa).
6.3
Janelas de pop-up
Janelas de pop-up s o aquelas que aparecem automaticamente e sem permiss o, sobrepondo a a a janela do navegador Web, ap s voc acessar um site. Alguns riscos que podem representar s o: o e a apresentar mensagens indesejadas, contendo propagandas ou conte do impr prio; u o apresentar links, que podem redirecionar a navegacao para uma p gina falsa ou induzi-lo a a instalar c digos maliciosos. o Prevencao: congure seu navegador Web para, por padr o, bloquear janelas de pop-up; a crie uma lista de excecoes, contendo apenas sites conhecidos e con veis e onde forem real a mente necess rias. a
6.4
Plug-ins, complementos e extens es o
Plug-ins, complementos e extens es s o programas geralmente desenvolvidos por terceiros e que o a voc pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. e Esses programas, na maioria das vezes, s o disponibilizados em reposit rios, onde podem ser a o baixados livremente ou comprados. Alguns reposit rios efetuam controle rgido sobre os programas o antes de disponibiliz -los, outros utilizam classicacoes referentes ao tipo de revis o, enquanto outros a a n o efetuam nenhum tipo de controle. a Apesar de grande parte destes programas serem con veis, h a chance de existir programas a a especicamente criados para executar atividades maliciosas ou que, devido a erros de implementacao, possam executar acoes danosas em seu computador. Prevencao: assegure-se de ter mecanismos de seguranca instalados e atualizados, antes de instalar progra mas desenvolvidos por terceiros (mais detalhes no Captulo Mecanismos de seguranca); mantenha os programas instalados sempre atualizados (mais detalhes no Captulo Seguranca de computadores);
6. Outros riscos
43
procure obter arquivos apenas de fontes con veis; a utilize programas com grande quantidade de usu rios (considerados populares) e que tenham a sido bem avaliados. Muitos reposit rios possuem sistema de classicacao, baseado em quano tidade de estrelas, concedidas de acordo com as avaliacoes recebidas. Selecione aqueles com mais estrelas; veja coment rios de outros usu rios sobre o programa, antes de instal -lo (muitos sites dispoa a a nibilizam listas de programas mais usados e mais recomendados); verique se as permiss es necess rias para a instalacao e execucao s o coerentes, ou seja, um o a a programa de jogos n o necessariamente precisa ter acesso aos seus dados pessoais; a seja cuidadoso ao instalar programas que ainda estejam em processo de revis o; a denuncie aos respons veis pelo reposit rio caso identique programas maliciosos. a o
6.5
Links patrocinados
Um anunciante que queira fazer propaganda de um produto ou site paga para o site de busca apresentar o link em destaque quando palavras especcas s o pesquisadas. Quando voc clica em a e um link patrocinado, o site de busca recebe do anunciante um valor previamente combinado. O anunciante geralmente possui uma p gina Web - com acesso via conta de usu rio e senha - para a a interagir com o site de busca, alterar conguracoes, vericar acessos e fazer pagamentos. Este tipo de conta e bastante visado por atacantes, com o intuito de criar redirecionamentos para p ginas de phisha ing ou contendo c digos maliciosos e representa o principal risco relacionado a links patrocinados. o Prevencao: n o use sites de busca para acessar todo e qualquer tipo de site. Por exemplo: voc n o precisa a e a pesquisar para saber qual e o site do seu banco, j que geralmente o endereco e bem conhecido. a
6.6
Banners de propaganda
A Internet n o trouxe novas oportunidades de neg cio apenas para anunciantes e sites de busca. a o Usu rios, de forma geral, podem obter rendimentos extras alugando espaco em suas p ginas para a a servicos de publicidade. Caso tenha uma p gina Web, voc pode disponibilizar um espaco nela para que o servico de a e publicidade apresente banners de seus clientes. Quanto mais a sua p gina e acessada e quanto mais a cliques s o feitos nos banners por interm dio dela, mais voc pode vir a ser remunerado. a e e Infelizmente pessoas mal-intencionadas tamb m viram no uso destes servicos novas oportunidae des para aplicar golpes, denominados malvertising1 . Este tipo de golpe consiste em criar an ncios u
1 Malvertising
e uma palavra em ingl s originada da juncao de malicious (malicioso) e advertsing (propaganda). e
44
maliciosos e, por meio de servicos de publicidade, apresent -los em diversas p ginas Web. Geral a a mente, o servico de publicidade e induzido a acreditar que se trata de um an ncio legtimo e, ao u aceit -lo, intermedia a apresentacao e faz com que ele seja mostrado em diversas p ginas. a a Prevencao: seja cuidadoso ao clicar em banners de propaganda (caso o an ncio lhe interesse, procure ir u diretamente para a p gina do fabricante); a mantenha o seu computador protegido, com as vers es mais recentes e com todas as atualizao coes aplicadas (mais detalhes no Captulo Seguranca de computadores); utilize e mantenha atualizados mecanismos de seguranca, como antimalware e rewall pessoal (mais detalhes no Captulo Mecanismos de seguranca); seja cuidadoso ao congurar as opcoes de privacidade em seu navegador Web (mais detalhes no Captulo Privacidade).
6.7
Programas de distribuicao de arquivos (P2P)
Programas de distribuicao de arquivos, ou P2P, s o aqueles que permitem que os usu rios com a a partilhem arquivos entre si. Alguns exemplos s o: Kazaa, Gnutella e BitTorrent. Alguns riscos a relacionados ao uso destes programas s o: a Acesso indevido: caso esteja mal congurado ou possua vulnerabilidades o programa de distribuicao de arquivos pode permitir o acesso indevido a diret rios e arquivos (al m dos compartilhados). o e Obtencao de arquivos maliciosos: os arquivos distribudos podem conter c digos maliciosos e as o sim, infectar seu computador ou permitir que ele seja invadido. Violacao de direitos autorais: a distribuicao n o autorizada de arquivos de m sica, lmes, textos ou a u programas protegidos pela lei de direitos autorais constitui a violacao desta lei. Prevencao: mantenha seu programa de distribuicao de arquivos sempre atualizado e bem congurado; certique-se de ter um antimalware instalado e atualizado e o utilize para vericar qualquer arquivo obtido (mais detalhes no Captulo Mecanismos de seguranca); mantenha o seu computador protegido, com as vers es mais recentes e com todas as atualizao coes aplicadas (mais detalhes no Captulo Seguranca de computadores); certique-se que os arquivos obtidos ou distribudos s o livres, ou seja, n o violam as leis de a a direitos autorais.
6. Outros riscos
45
6.8
Compartilhamento de recursos
Alguns sistemas operacionais permitem que voc compartilhe com outros usu rios recursos do e a seu computador, como diret rios, discos, e impressoras. Ao fazer isto, voc pode estar permitindo: o e o acesso n o autorizado a recursos ou informacoes sensveis; a que seus recursos sejam usados por atacantes caso n o sejam denidas senhas para controle de a acesso ou sejam usadas senhas facilmente descobertas. Por outro lado, assim como voc pode compartilhar recursos do seu computador, voc tamb m e e e pode acessar recursos que foram compartilhados por outros. Ao usar estes recursos, voc pode estar e se arriscando a abrir arquivos ou a executar programas que contenham c digos maliciosos. o Prevencao: estabeleca senhas para os compartilhamentos; estabeleca permiss es de acesso adequadas, evitando que usu rios do compartilhamento tenham o a mais acessos que o necess rio; a compartilhe seus recursos pelo tempo mnimo necess rio; a tenha um antimalware instalado em seu computador, mantenha-o atualizado e utilize-o para vericar qualquer arquivo compartilhado (mais detalhes no Captulo Mecanismos de seguranca); mantenha o seu computador protegido, com as vers es mais recentes e com todas as atualizao coes aplicadas (mais detalhes no Captulo Seguranca de computadores).
7. Mecanismos de seguranca
Agora que voc j est ciente de alguns dos riscos relacionados ao uso de computadores e da e a a Internet e que, apesar disso, reconhece que n o e possvel deixar de usar estes recursos, est no a a momento de aprender detalhadamente a se proteger. No seu dia a dia, h cuidados que voc toma, muitas vezes de forma instintiva, para detectar e a e evitar riscos. Por exemplo: o contato pessoal e a apresentacao de documentos possibilitam que voc e conrme a identidade de algu m, a presenca na ag ncia do seu banco garante que h um relacionae e a mento com ele, os Cart rios podem reconhecer a veracidade da assinatura de algu m, etc. o e E como fazer isto na Internet, onde as acoes s o realizadas sem contato pessoal e por um meio de a comunicacao que, em princpio, e considerado inseguro? Para permitir que voc possa aplicar na Internet cuidados similares aos que costuma tomar em seu e dia a dia, e necess rio que os servicos disponibilizados e as comunicacoes realizadas por este meio a garantam alguns requisitos b sicos de seguranca, como: a Identicacao: permitir que uma entidade1 se identique, ou seja, diga quem ela e.
1 Uma
entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador.
47
48
Autenticacao: vericar se a entidade e realmente quem ela diz ser. Autorizacao: determinar as acoes que a entidade pode executar. Integridade: proteger a informacao contra alteracao n o autorizada. a Condencialidade ou sigilo: proteger uma informacao contra acesso n o autorizado. a N o repudio: evitar que uma entidade possa negar que foi ela quem executou uma acao. a Disponibilidade: garantir que um recurso esteja disponvel sempre que necess rio. a Para prover e garantir estes requisitos, foram adaptados e desenvolvidos os mecanismos de seguranca que, quando corretamente congurados e utilizados, podem auxili -lo a se proteger dos riscos a envolvendo o uso da Internet. Antes de detalhar estes mecanismos, por m, e importante que voc seja advertido sobre a possie e bilidade de ocorr ncia de falso positivo. Este termo e usado para designar uma situacao na qual e um mecanismo de seguranca aponta uma atividade como sendo maliciosa ou an mala, quando na o verdade trata-se de uma atividade legtima. Um falso positivo pode ser considerado um falso alarme (ou um alarme falso). Um falso positivo ocorre, por exemplo, quando uma p gina legtima e classicada como phishing, a uma mensagem legtima e considerada spam, um arquivo e erroneamente detectado como estando ` infectado ou um rewall indica como ataques algumas respostas dadas as solicitacoes feitas pelo pr prio usu rio. o a Apesar de existir esta possibilidade, isto n o deve ser motivo para que os mecanismos de seguranca a n o sejam usados, pois a ocorr ncia destes casos e geralmente baixa e, muitas vezes, pode ser resola e vida com alteracoes de conguracao ou nas regras de vericacao. Nas pr ximas secoes s o apresentados alguns dos principais mecanismos de seguranca e os cuio a dados que voc deve tomar ao usar cada um deles. e
7.1
Poltica de seguranca
A poltica de seguranca dene os direitos e as responsabilidades de cada um em relacao a se ` ` guranca dos recursos computacionais que utiliza e as penalidades as quais est sujeito, caso n o a a a cumpra. E considerada como um importante mecanismo de seguranca, tanto para as instituicoes como para os usu rios, pois com ela e possvel deixar claro o comportamento esperado de cada um. Desta a forma, casos de mau comportamento, que estejam previstos na poltica, podem ser tratados de forma adequada pelas partes envolvidas. A poltica de seguranca pode conter outras polticas especcas, como: Poltica de senhas: dene as regras sobre o uso de senhas nos recursos computacionais, como tama nho mnimo e m ximo, regra de formacao e periodicidade de troca. a Poltica de backup: dene as regras sobre a realizacao de c pias de seguranca, como tipo de mdia o utilizada, perodo de retencao e frequ ncia de execucao. e
49
Poltica de privacidade: dene como s o tratadas as informacoes pessoais, sejam elas de clientes, a usu rios ou funcion rios. a a Poltica de condencialidade: dene como s o tratadas as informacoes institucionais, ou seja, se a elas podem ser repassadas a terceiros. Poltica de uso aceit vel (PUA) ou Acceptable Use Policy (AUP): tamb m chamada de Termo de a e Uso ou Termo de Servico, dene as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situacoes que s o consideradas abusivas. a A poltica de uso aceit vel costuma ser disponibilizada na p gina Web e/ou ser apresentada no a a momento em que a pessoa passa a ter acesso aos recursos. Talvez voc j tenha se deparado com e a estas polticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e ao utilizar servicos disponibilizados por meio da Internet, como redes sociais e Webmail. Algumas situacoes que geralmente s o consideradas de uso abusivo (n o aceit vel) s o: a a a a compartilhamento de senhas; divulgacao de informacoes condenciais; envio de boatos e mensagens contendo spam e c digos maliciosos; o envio de mensagens com objetivo de difamar, caluniar ou ameacar algu m; e c pia e distribuicao n o autorizada de material protegido por direitos autorais; o a ataques a outros computadores; comprometimento de computadores ou redes. ` ` O desrespeito a poltica de seguranca ou a poltica de uso aceit vel de uma instituicao pode ser a considerado como um incidente de seguranca e, dependendo das circunst ncias, ser motivo para en a cerramento de contrato (de trabalho, de prestacao de servicos, etc.). Cuidados a serem tomados: procure estar ciente da poltica de seguranca da empresa onde voc trabalha e dos servicos que e voc utiliza (como Webmail e redes sociais); e ` que atento as mudancas que possam ocorrer nas polticas de uso e de privacidade dos servicos que voc utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n o e a ser surpreendido com alteracoes que possam comprometer a sua privacidade; ` que atento a poltica de condencialidade da empresa onde voc trabalha e seja cuidadoso ao e divulgar informacoes prossionais, principalmente em blogs e redes sociais (mais detalhes na Secao 11.1 do Captulo Privacidade); notique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Secao 7.2).
50
7.2
Noticacao de incidentes e abusos
Um incidente de seguranca pode ser denido como qualquer evento adverso, conrmado ou sob ` suspeita, relacionado a seguranca de sistemas de computacao ou de redes de computadores. Alguns exemplos de incidentes de seguranca s o: tentativa de uso ou acesso n o autorizado a a a sistemas ou dados, tentativa de tornar servicos indisponveis, modicacao em sistemas (sem o conhe ` ` cimento ou consentimento pr vio dos donos) e o desrespeito a poltica de seguranca ou a poltica de e uso aceit vel de uma instituicao. a E muito importante que voc notique sempre que se deparar com uma atitude que considere e abusiva ou com um incidente de seguranca. De modo geral, a lista de pessoas/entidades a serem noticadas inclui: os respons veis pelo computador que originou a atividade, os respons veis pela a a rede que originou o incidente (incluindo o grupo de seguranca e abusos, se existir um para aquela rede) e o grupo de seguranca e abusos da rede a qual voc est conectado (seja um provedor, empresa, e a universidade ou outro tipo de instituicao). Ao noticar um incidente, al m de se proteger e contribuir para a seguranca global da Internet, e tamb m ajudar outras pessoas a detectarem problemas, como computadores infectados, falhas de e a conguracao e violacoes em polticas de seguranca ou de uso aceit vel de recursos. a Para encontrar os respons veis por uma rede voc deve consultar um servidor de WHOIS, onde a e s o mantidas as bases de dados sobre os respons veis por cada bloco de n meros IP existentes. Para a a u IPs alocados ao Brasil voc pode consultar o servidor em http://registro.br/cgi-bin/whois/, e para os demais pases voc pode acessar o site http://www.geektools.com/whois.php que aceita e consultas referentes a qualquer n mero IP e as redireciona para os servidores apropriados2 . u E importante que voc mantenha o CERT.br na c pia das suas noticacoes3 , pois isto contribuir e o a para as atividades deste grupo e permitir que: a os dados relativos a v rios incidentes sejam correlacionados, ataques coordenados sejam idena ticados e novos tipos de ataques sejam descobertos; acoes corretivas possam ser organizadas em cooperacao com outras instituicoes; sejam geradas estatsticas que reitam os incidentes ocorridos na Internet brasileira; sejam geradas estatsticas sobre a incid ncia e origem de spams no Brasil; e ` sejam escritos documentos, como recomendacoes e manuais, direcionados as necessidades dos usu rios da Internet no Brasil. a A noticacao deve incluir a maior quantidade de informacoes possvel, tais como: logs completos; data, hor rio e fuso hor rio (time zone) dos logs ou da atividade que est sendo noticada; a a a
e-mails encontrados nestas consultas n o s o necessariamente da pessoa que praticou o ataque, mas sim dos a a ` respons veis pela rede a qual o computador est conectado, ou seja, podem ser os administradores da rede, s cios da a a o empresa, ou qualquer outra pessoa que foi designada para cuidar da conex o da instituicao com a Internet. a 3 Os enderecos de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranca s o: cert@cert.br (para a noticacoes gerais) e mail-abuse@cert.br (especco para reclamacoes de spam).
2 Os
51
o e-mail completo, incluindo cabecalhos e conte do (no caso de noticacao de spam, trojan, u phishing ou outras atividades maliciosas recebidas por e-mail); dados completos do incidente ou qualquer outra informacao que tenha sido utilizada para iden ticar a atividade. Outras informacoes e respostas para as d vidas mais comuns referentes ao processo de notica u cao de incidentes podem ser encontradas na lista de quest es mais frequentes (FAQ) mantida pelo o CERT.br e disponvel em http://www.cert.br/docs/faq1.html.
7.3
Contas e senhas
Contas e senhas s o atualmente o mecanismo de aua tenticacao mais usado para o controle de acesso a sites e servicos oferecidos pela Internet. E por meio das suas contas e senhas que os sistemas conseguem saber quem voc e e denir as acoes que voc e e pode realizar. Dicas de elaboracao, alteracao e gerenciamento, assim como os cuidados que voc deve ter ao e usar suas contas e senhas, s o apresentados no Captulo Contas e senhas. a
7.4
Criptograa
Usando criptograa voc pode proteger seus dados e contra acessos indevidos, tanto os que trafegam pela Internet como os j gravados em seu computador. a Detalhes sobre como a criptograa pode contribuir para manter a seguranca dos seus dados e os conceitos de certicados e assinaturas digitais s o apresentados no Captulo Criptograa. a Detalhes sobre como a criptograa pode ser usada para garantir a conex o segura aos sites na a Internet s o apresentados na Secao 10.1 do Captulo Uso seguro da Internet. a
7.5
C pias de seguranca (Backups) o
Voc j imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou at mesmo e a e todos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados armazenados em seus dispositivos m veis? E se, ao enviar seu computador para manutencao, voc o e o recebesse de volta com o disco rgido formatado? Para evitar que estas situacoes acontecam, e necess rio que voc aja de forma preventiva e realize c pias de seguranca (backups). a e o Muitas pessoas, infelizmente, s percebem a import ncia de ter backups quando j e tarde demais, o a a ou seja, quando os dados j foram perdidos e n o se pode fazer mais nada para recuper -los. Backups a a a s o extremamente importantes, pois permitem: a
52
Protecao de dados: voc pode preservar seus dados para que sejam recuperados em situacoes como e falha de disco rgido, atualizacao mal-sucedida do sistema operacional, exclus o ou substituicao a acidental de arquivos, acao de c digos maliciosos/atacantes e furto/perda de dispositivos. o Recuperacao de vers es: voc pode recuperar uma vers o antiga de um arquivo alterado, como uma o e a parte excluda de um texto editado ou a imagem original de uma foto manipulada. Arquivamento: voc pode copiar ou mover dados que deseja ou que precisa guardar, mas que n o e a s o necess rios no seu dia a dia e que raramente s o alterados. a a a Muitos sistemas operacionais j possuem ferramentas de backup e recuperacao integradas e tama b m h a opcao de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta e a que voc tome algumas decis es, como: e o Onde gravar os backups: voc pode usar mdias (como CD, DVD, pen-drive, disco de Blu-ray e e disco rgido interno ou externo) ou armazen -los remotamente (online ou off-site). A escolha a depende do programa de backup que est sendo usado e de quest es como capacidade de ara o mazenamento, custo e conabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive pode ser indicado para dados constantemente modicados, ao passo que um disco rgido pode ser usado para grandes volumes que devam perdurar. Quais arquivos copiar: apenas arquivos con veis4 e que tenham import ncia para voc devem ser a a e copiados. Arquivos de programas que podem ser reinstalados, geralmente, n o precisam ser a copiados. Fazer c pia de arquivos desnecess rios pode ocupar espaco inutilmente e dicultar o a a localizacao dos demais dados. Muitos programas de backup j possuem listas de arquivos e a diret rios recomendados, voc pode optar por aceit -las ou criar suas pr prias listas. o e a o Com que periodicidade devo realiz -los: depende da frequ ncia com que voc cria ou modica a e e arquivos. Arquivos frequentemente modicados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente. Cuidados a serem tomados: mantenha seus backups atualizados, de acordo com a frequ ncia de alteracao dos dados; e mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou umidade) e com acesso restrito (apenas de pessoas autorizadas); congure para que seus backups sejam realizados automaticamente e certique-se de que eles estejam realmente sendo feitos (backups manuais est o mais propensos a erros e esquecimento); a al m dos backups peri dicos, sempre faca backups antes de efetuar grandes alteracoes no sise o tema (adicao de hardware, atualizacao do sistema operacional, etc.) e de enviar o computador para manutencao; armazene dados sensveis em formato criptografado (mais detalhes no Captulo Criptograa);
4 Arquivos
que possam conter c digos maliciosos ou ter sido modicados/substitudos por invasores n o devem ser o a
copiados.
53
mantenha backups redundantes, ou seja, v rias c pias, para evitar perder seus dados em um a o inc ndio, inundacao, furto ou pelo uso de mdias defeituosas (voc pode escolher pelo menos e e duas das seguintes possibilidades: sua casa, seu escrit rio e um reposit rio remoto); o o cuidado com mdias obsoletas (disquetes j foram muito usados para backups, por m, atual a e mente, acess -los t m-se se tornado cada vez mais complicado pela diculdade em encontrar a e computadores com leitores deste tipo de mdia e pela degradacao natural do material); assegure-se de conseguir recuperar seus backups (a realizacao de testes peri dicos pode evitar o a p ssima surpresa de descobrir que os dados est o corrompidos, em formato obsoleto ou que e a voc n o possui mais o programa de recuperacao); e a mantenha seus backups organizados e identicados (voc pode etiquet -los ou nome -los com e a a informacoes que facilitem a localizacao, como tipo do dado armazenado e data de gravacao); copie dados que voc considere importantes e evite aqueles que podem ser obtidos de fontes e externas con veis, como os referentes ao sistema operacional ou aos programas instalados; a nunca recupere um backup se desconar que ele cont m dados n o con veis. e a a Ao utilizar servicos de backup online h alguns cuidados adicionais que voc deve tomar, como: a e observe a disponibilidade do servico e procure escolher um com poucas interrupcoes (alta dis ponibilidade); observe o tempo estimado de transmiss o de dados (tanto para realizacao do backup quanto a para recuperacao dos dados). Dependendo da banda disponvel e da quantidade de dados a ser copiada (ou recuperada), o backup online pode se tornar impratic vel; a seja seletivo ao escolher o servico. Observe crit rios como suporte, tempo no mercado (h e a quanto tempo o servico e oferecido), a opini o dos demais usu rios e outras refer ncias que a a e voc possa ter; e leve em consideracao o tempo que seus arquivos s o mantidos, o espaco de armazenagem e a a poltica de privacidade e de seguranca; procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada (caso n o haja a esta possibilidade, procure voc mesmo criptografar os dados antes de envi -los). e a
7.6
Registro de eventos (Logs)
Log5 e o registro de atividade gerado por programas e servicos de um computador. Ele pode car armazenado em arquivos, na mem ria do computador ou em bases de dados. A partir da an lise desta o a informacao voc pode ser capaz de: e
e um termo t cnico que se refere ao registro de atividades de diversos tipos como, por exemplo, de conex o e a ` (informacoes sobre a conex o de um computador a Internet) e de acesso a aplicacoes (informacoes de acesso de um a computador a uma aplicacao de Internet). Na Cartilha este termo e usado para se referir ao registro das atividades que ocorrem no computador do usu rio. a
5 Log
54
detectar o uso indevido do seu computador, como um usu rio tentando acessar arquivos de a outros usu rios, ou alterar arquivos do sistema; a detectar um ataque, como de forca bruta ou a exploracao de alguma vulnerabilidade; rastrear (auditar) as acoes executadas por um usu rio no seu computador, como programas a utilizados, comandos executados e tempo de uso do sistema; detectar problemas de hardware ou nos programas e servicos instalados no computador. Baseado nisto, voc pode tomar medidas preventivas para tentar evitar que um problema maior e ocorra ou, caso n o seja possvel, tentar reduzir os danos. Alguns exemplos s o: a a se o disco rgido do seu computador estiver apresentando mensagens de erro, voc pode se ante e cipar, fazer backup dos dados nele contidos e no momento oportuno envi -lo para manutencao; a se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, voc pode e vericar se as medidas preventivas j foram aplicadas e tentar evitar que o ataque ocorra; a se n o for possvel evitar um ataque, os logs podem permitir que as acoes executadas pelo a atacante sejam rastreadas, como arquivos alterados e as informacoes acessadas. Logs s o essenciais para noticacao de incidentes, pois permitem que diversas informacoes ima portantes sejam detectadas, como por exemplo: a data e o hor rio em que uma determinada atividade a ocorreu, o fuso hor rio do log, o endereco IP de origem da atividade, as portas envolvidas e o proa tocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou n o). a Cuidados a serem tomados: mantenha o seu computador com o hor rio correto (o hor rio em que o log e registrado e usado a a na correlacao de incidentes de seguranca e, por este motivo, deve estar sincronizado6 ); verique o espaco em disco livre em seu computador (logs podem ocupar bastante espaco em disco, dependendo das conguracoes feitas); evite registrar dados desnecess rios, pois isto, al m de poder ocupar espaco excessivo no disco, a e tamb m pode degradar o desempenho do computador, comprometer a execucao de tarefas e b sicas e dicultar a localizacao de informacoes de interesse; a que atento e descone caso perceba que os logs do seu computador foram apagados ou que deixaram de ser gerados por um perodo (muitos atacantes, na tentativa de esconder as acoes executadas, desabilitam os servicos de logs e apagam os registros relacionados ao ataque ou, at mesmo, os pr prios arquivos de logs); e o restrinja o acesso aos arquivos de logs. N o e necess rio que todos os usu rios tenham acesso a a a ` as informacoes contidas nos logs. Por isto, sempre que possvel, permita que apenas o usu rio a administrador tenha acesso a estes dados.
6 Informacoes
sobre como manter o hor rio do seu computador sincronizado podem ser obtidas em http://ntp.br/. a
55
7.7
Ferramentas antimalware
Ferramentas antimalware s o aquelas que procuram a detectar e, ent o, anular ou remover os c digos maliciosos a o de um computador. Antivrus, antispyware, antirootkit e antitrojan s o exemplos de ferramentas deste tipo. a Ainda que existam ferramentas especcas para os diferentes tipos de c digos maliciosos, muitas o vezes e difcil delimitar a area de atuacao de cada uma delas, pois a denicao do tipo de c digo o malicioso depende de cada fabricante e muitos c digos mesclam as caractersticas dos demais tipos o (mais detalhes no Captulo C digos maliciosos (Malware)). o Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades e o antivrus. Apesar de inicialmente eles terem sido criados para atuar especicamente sobre vrus, com o passar do tempo, passaram tamb m a englobar as funcionalidades dos demais programas, e fazendo com que alguns deles cassem em desuso. H diversos tipos de programas antimalware que diferem entre si das seguintes formas: a ` M todo de deteccao: assinatura (uma lista de assinaturas7 e usada a procura de padr es), heurstica e o (baseia-se nas estruturas, instrucoes e caractersticas que o c digo malicioso possui) e compor o tamento (baseia-se no comportamento apresentado pelo c digo malicioso quando executado) o s o alguns dos m todos mais comuns. a e Forma de obtencao: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos (exigem que uma licenca seja adquirida). Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a vers o gratuita costuma possuir funcionalidades b sicas ao a a passo que a vers o paga possui funcionalidades extras, al m de poder contar com suporte. a e Execucao: podem ser localmente instalados no computador ou executados sob demanda por in term dio do navegador Web. Tamb m podem ser online, quando enviados para serem exee e cutados em servidores remotos, por um ou mais programas. Funcionalidades apresentadas: al m das funcoes b sicas (detectar, anular e remover c digos mae a o liciosos) tamb m podem apresentar outras funcionalidade integradas, como a possibilidade de e geracao de discos de emerg ncia e rewall pessoal (mais detalhes na Secao 7.8). e Alguns exemplos de antimalware online s o: a Anubis - Analyzing Unknown Binaries http://anubis.iseclab.org/ Norman Sandbox - SandBox Information Center http://www.norman.com/security_center/security_tools/ ThreatExpert - Automated Threat Analysis http://www.threatexpert.com/
assinatura de um c digo malicioso corresponde a caractersticas especcas nele contidas e que permitem que seja o identicado unicamente. Um arquivo de assinaturas corresponde ao conjunto de assinaturas denidas pelo fabricante para os c digos maliciosos j detectados. o a
7A
56
VirusTotal - Free Online Virus, Malware and URL Scanner https://www.virustotal.com/ ` Para escolher o antimalware que melhor se adapta a sua necessidade e importante levar em conta o uso que voc faz e as caractersticas de cada vers o. Observe que n o h relacao entre o custo e a a a e a eci ncia de um programa, pois h vers es gratuitas que apresentam mais funcionalidades que e a o vers es pagas de outros fabricantes. Alguns sites apresentam comparativos entre os programas de o diferentes fabricantes que podem gui -lo na escolha do qual melhor lhe atende, tais como: a AV-Comparatives - Independent Tests of Anti-Virus Software http://www.av-comparatives.org/ Virus Bulletin - Independent Malware Advice http://www.virusbtn.com/ Cuidados a serem tomados: tenha um antimalware instalado em seu computador (programas online, apesar de bastante ` uteis, exigem que seu computador esteja conectado a Internet para que funcionem corretamente e podem conter funcionalidades reduzidas); utilize programas online quando suspeitar que o antimalware local esteja desabilitado/comprometido ou quando necessitar de uma segunda opini o (quiser conrmar o estado de um arquivo a que j foi vericado pelo antimalware local); a congure o antimalware para vericar toda e qualquer extens o de arquivo; a congure o antimalware para vericar automaticamente arquivos anexados aos e-mails e obtidos pela Internet; congure o antimalware para vericar automaticamente os discos rgidos e as unidades re movveis (como pen-drives, CDs, DVDs e discos externos); mantenha o arquivo de assinaturas sempre atualizado (congure o antimalware para atualiz -lo a automaticamente pela rede, de prefer ncia diariamente); e mantenha o antimalware sempre atualizado, com a vers o mais recente e com todas as atualia zacoes existentes aplicadas; evite executar simultaneamente diferentes programas antimalware (eles podem entrar em conito, afetar o desempenho do computador e interferir na capacidade de deteccao um do outro); crie um disco de emerg ncia e o utilize-o quando desconar que o antimalware instalado est e a desabilitado/comprometido ou que o comportamento do computador est estranho (mais lento, a gravando ou lendo o disco rgido com muita frequ ncia, etc.). e
57
7.8
Firewall pessoal
Firewall pessoal e um tipo especco de rewall que e utili zado para proteger um computador contra acessos n o autorizaa dos vindos da Internet. Os programas antimalware, apesar da grande quantidade de funcionalidades, n o s o capazes de impedir que um atacante tente explorar, via rede, alguma vula a nerabilidade existente em seu computador e nem de evitar o acesso n o autorizado, caso haja algum a 8 . Devido a isto, al m da instalacao do antimalware, e necess rio que voc backdoor nele instalado e a e utilize um rewall pessoal. Quando bem congurado, o rewall pessoal pode ser capaz de: registrar as tentativas de acesso aos servicos habilitados no seu computador; bloquear o envio para terceiros de informacoes coletadas por invasores e c digos maliciosos; o bloquear as tentativas de invas o e de exploracao de vulnerabilidades do seu computador e a possibilitar a identicacao das origens destas tentativas; analisar continuamente o conte do das conex es, ltrando diversos tipos de c digos maliciosos u o o e barrando a comunicacao entre um invasor e um c digo malicioso j instalado; o a evitar que um c digo malicioso j instalado seja capaz de se propagar, impedindo que vulnerao a bilidades em outros computadores sejam exploradas. Alguns sistemas operacionais possuem rewall pessoal integrado. Caso o sistema instalado em seu computador n o possua um ou voc n o queira us -lo, h diversas opcoes disponveis (pagas ou a e a a a gratuitas). Voc tamb m pode optar por um antimalware com funcionalidades de rewall pessoal e e integradas. Cuidados a serem tomados: antes de obter um rewall pessoal, verique a proced ncia e certique-se de que o fabricante e e con vel; a certique-se de que o rewall instalado esteja ativo (estado: ativado); congure seu rewall para registrar a maior quantidade de informacoes possveis (desta forma, e possvel detectar tentativas de invas o ou rastrear as conex es de um invasor). a o As conguracoes do rewall dependem de cada fabricante. De forma geral, a mais indicada e: liberar todo tr fego de sada do seu computador (ou seja, permitir que seu computador acesse a outros computadores e servicos) e; bloquear todo tr fego de entrada ao seu computador (ou seja, impedir que seu computador seja a acessado por outros computadores e servicos) e liberar as conex es conforme necess rio, de o a acordo com os programas usados.
8 Exceto
aqueles que possuem rewall pessoal integrado.
58
7.9
Filtro antispam
` Os ltros antispam j vem integrado a maioria dos Webmails e proa gramas leitores de e-mails e permite separar os e-mails desejados dos indesejados (spams). A maioria dos ltros passa por um perodo inicial de treinamento, no qual o usu rio seleciona manualmente as mensagens a consideradas spam e, com base nas classicacoes, o ltro vai apren dendo a distinguir as mensagens. Mais informacoes sobre ltros antispam e cuidados a serem tomados podem ser encontradas em http://antispam.br/. Mais detalhes sobre outras formas de prevencao contra spam s o apresenta a das no Captulo Spam.
7.10
Outros mecanismos
` Filtro antiphishing: j vem integrado a maioria dos navegadores Web e serve para alertar os usu rios a a quando uma p gina suspeita de ser falsa e acessada. O usu rio pode ent o decidir se quer a a a acess -la mesmo assim ou navegar para outra p gina. a a ` Filtro de janelas de pop-up: j vem integrado a maioria dos navegadores Web e permite que voc a e controle a exibicao de janelas de pop-up. Voc pode optar por bloquear, liberar totalmente ou e permitir apenas para sites especcos. Filtro de c digos m veis: ltros, como o NoScript, permitem que voc controle a execucao de c o o e o digos Java e JavaScript. Voc pode decidir quando permitir a execucao destes c digos e se eles e o ser o executados temporariamente ou permanentemente - http://noscript.net/ a Filtro de bloqueio de propagandas: ltros, como o Adblock, permitem o bloqueio de sites conhecidos por apresentarem propagandas - http://adblockplus.org/ Teste de reputacao de site: complementos, como o WOT (Web of Trust), permitem determinar a reputacao dos sites que voc acessa. Por meio de um esquema de cores, ele indica a reputacao e do site, como: verde escuro (excelente), verde claro (boa), amarelo (insatisfat ria), vermelho o claro (m ) e vermelho escuro (p ssima) - http://www.mywot.com/ a e Programa para vericacao de vulnerabilidades: programas, como o PSI (Secunia Personal Soft ware Inspector), permitem vericar vulnerabilidades nos programas instalados em seu computador e determinar quais devem ser atualizados http://secunia.com/vulnerability_scanning/personal/ Sites e complementos para expans o de links curtos: complementos ou sites especcos, como o a LongURL, permitem vericar qual e o link de destino de um link curto. Desta forma, voc e pode vericar a URL de destino, sem que para isto necessite acessar o link curto http://longurl.org/ Anonymizer: sites para navegacao an nima, conhecidos como anonymizers, intermediam o envio e o recebimento de informacoes entre o seu navegador Web e o site que voc deseja visitar. Desta e forma, o seu navegador n o recebe cookies e as informacoes por ele fornecidas n o s o repasa a a sadas para o site visitado - http://www.anonymizer.com/
8. Contas e senhas
Uma conta de usu rio, tamb m chamada de nome de usu rio, nome de login e username, a e a ` corresponde a identicacao unica de um usu rio em um computador ou servico. Por meio das contas a de usu rio e possvel que um mesmo computador ou servico seja compartilhado por diversas pessoas, a pois permite, por exemplo, identicar unicamente cada usu rio, separar as conguracoes especcas a de cada um e controlar as permiss es de acesso. o A sua conta de usu rio e de conhecimento geral e e o que permite a sua identicacao. Ela e, muitas a vezes, derivada do seu pr prio nome, mas pode ser qualquer sequ ncia de caracteres que permita que o e voc seja identicado unicamente, como o seu endereco de e-mail. Para garantir que ela seja usada e apenas por voc , e por mais ningu m, e que existem os mecanismos de autenticacao. e e Existem tr s grupos b sicos de mecanismos de autenticacao, que se utilizam de: aquilo que voc e e a e (informacoes biom tricas, como a sua impress o digital, a palma da sua m o, a sua voz e o seu olho), e a a aquilo que apenas voc possui (como seu cart o de senhas banc rias e um token gerador de senhas) e a a e, nalmente, aquilo que apenas voc sabe (como perguntas de seguranca e suas senhas). e Uma senha, ou password, serve para autenticar uma conta, ou seja, e usada no processo de vericacao da sua identidade, assegurando que voc e realmente quem diz ser e que possui o di e reito de acessar o recurso em quest o. E um dos principais mecanismos de autenticacao usados na a Internet devido, principalmente, a simplicidade que possui.
59
60
` Se uma outra pessoa souber a sua conta de usu rio e tiver acesso a sua senha ela poder us -las a a a para se passar por voc na Internet e realizar acoes em seu nome, como: e acessar a sua conta de correio eletr nico e ler seus e-mails, enviar mensagens de spam e/ou o contendo phishing e c digos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas o de outras contas para este endereco de e-mail (e assim conseguir acesso a elas); acessar o seu computador e obter informacoes sensveis nele armazenadas, como senhas e n meros de cart es de cr dito; u o e utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, ent o, a desferir ataques contra computadores de terceiros; acessar sites e alterar as conguracoes feitas por voc , de forma a tornar p blicas informacoes e u que deveriam ser privadas; acessar a sua rede social e usar a conanca que as pessoas da sua rede de relacionamento depositam em voc para obter informacoes sensveis ou para o envio de boatos, mensagens de e spam e/ou c digos maliciosos. o
8.1
Uso seguro de contas e senhas
Algumas das formas como a sua senha pode ser descoberta s o: a ao ser usada em computadores infectados. Muitos c digos maliciosos, ao infectar um compuo tador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso voc possua uma e ela esteja apontada para o teclado) e gravam a posicao da tela onde o mouse e foi clicado (mais detalhes na Secao 4.4 do Captulo C digos maliciosos (Malware)); o ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que est no a site verdadeiro, um atacante pode armazen -la e, posteriormente, us -la para acessar o site a a verdadeiro e realizar operacoes em seu nome (mais detalhes na Secao 2.3 do Captulo Golpes na Internet); por meio de tentativas de adivinhacao (mais detalhes na Secao 3.5 do Captulo Ataques na Internet); ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Secao 3.4 do Captulo Ataques na Internet); por meio do acesso ao arquivo onde a senha foi armazenada caso ela n o tenha sido gravada de a forma criptografada (mais detalhes no Captulo Criptograa); com o uso de t cnicas de engenharia social, como forma a persuadi-lo a entreg -la voluntariae a mente; pela observacao da movimentacao dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.
8. Contas e senhas
61
Cuidados a serem tomados ao usar suas contas e senhas: certique-se de n o estar sendo observado ao digitar as suas senhas; a n o forneca as suas senhas para outra pessoa, em hip tese alguma; a o certique-se de fechar a sua sess o ao acessar sites que requeiram o uso de senhas. Use a opcao a de sair (logout), pois isto evita que suas informacoes sejam mantidas no navegador; elabore boas senhas, conforme descrito na Secao 8.2; altere as suas senhas sempre que julgar necess rio, conforme descrito na Secao 8.3; a n o use a mesma senha para todos os servicos que acessa (dicas de gerenciamento de senhas a s o fornecidas na Secao 8.4); a ao usar perguntas de seguranca para facilitar a recuperacao de senhas, evite escolher quest es o cujas respostas possam ser facilmente adivinhadas (mais detalhes na Secao 8.5); certique-se de utilizar servicos criptografados quando o acesso a um site envolver o forneci mento de senha (mais detalhes na Secao 10.1 do Captulo Uso seguro da Internet); procure manter sua privacidade, reduzindo a quantidade de informacoes que possam ser cole tadas sobre voc , pois elas podem ser usadas para adivinhar a sua senha, caso voc n o tenha e e a sido cuidadoso ao elabor -la (mais detalhes no Captulo Privacidade); a mantenha a seguranca do seu computador (mais detalhes no Captulo Seguranca de computa dores); seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos. Procure, sempre que possvel, utilizar opcoes de navegacao an nima (mais detalhes na o Secao 12.3 do Captulo Seguranca de computadores).
8.2
Elaboracao de senhas
Uma senha boa, bem elaborada, e aquela que e difcil de ser descoberta (forte) e f cil de ser a lembrada. N o conv m que voc crie uma senha forte se, quando for us -la, n o conseguir record a e e a a a la. Tamb m n o conv m que voc crie uma senha f cil de ser lembrada se ela puder ser facilmente e a e e a descoberta por um atacante. Alguns elementos que voc n o deve usar na elaboracao de suas senhas s o: e a a Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usu rio, n meros de documena u 1 (estes dados podem ser facilmente obtidos tos, placas de carros, n meros de telefones e datas u e usados por pessoas que queiram tentar se autenticar como voc ). e ` Sequ ncias de teclado: evite senhas associadas a proximidade entre os caracteres no teclado, como e 1qaz2wsx e QwerTAsdfG, pois s o bastante conhecidas e podem ser facilmente observadas a ao serem digitadas.
1 Qualquer
data que possa estar relacionada a voc , como a data de seu anivers rio ou de seus familiares. e a
62
Palavras que facam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de m sicas, times de futebol, personagens de lmes, dicion rios de diferentes u a idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, n o devem ser usadas (mais detalhes na Secao 3.5 do Captulo Ataques a na Internet). Alguns elementos que voc deve usar na elaboracao de suas senhas s o: e a Numeros aleat rios: quanto mais ao acaso forem os n meros usados melhor, principalmente em o u sistemas que aceitem exclusivamente caracteres num ricos. e Grande quantidade de caracteres: quanto mais longa for a senha mais difcil ser descobri-la. A a pesar de senhas longas parecerem, a princpio, difceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente. Diferentes tipos de caracteres: quanto mais baguncada for a senha mais difcil ser descobri-la. a Procure misturar caracteres, como n meros, sinais de pontuacao e letras mai sculas e min su u u culas. O uso de sinais de pontuacao pode dicultar bastante que a senha seja descoberta, sem necessariamente torn -la difcil de ser lembrada. a Algumas dicas2 pr ticas que voc pode usar na elaboracao de boas senhas s o: a e a Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a ultima letra de cada palavra. Exemplo: com a frase O Cravo brigou com a Rosa debaixo de uma sacada voc pode gerar a senha ?OCbcaRddus (o sinal de interrogacao foi colocado e ` no incio para acrescentar um smbolo a senha). Utilize uma frase longa: escolha uma frase longa, que faca sentido para voc , que seja f cil de ser e a memorizada e que, se possvel, tenha diferentes tipos de caracteres. Evite citacoes comuns ` (como ditados populares) e frases que possam ser diretamente ligadas a voc (como o refr o de e a sua m sica preferida). Exemplo: se quando crianca voc sonhava em ser astronauta, pode usar u e como senha 1 dia ainda verei os aneis de Saturno!!!. Faca substituicoes de caracteres: invente um padr o de substituicao baseado, por exemplo, na se a melhanca visual (w e vv) ou de fon tica (ca e k) entre os caracteres. Crie o seu e pr prio padr o pois algumas trocas j s o bastante obvias. Exemplo: duplicando as letras s e o a a a r, substituindo o por 0 (n mero zero) e usando a frase Sol, astro-rei do Sistema u Solar voc pode gerar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr. e Existem servicos que permitem que voc teste a complexidade de uma senha e que, de acordo e com crit rios, podem classic -la como sendo, por exemplo, muito fraca, fraca, forte e a ou muito forte. Ao usar estes servicos e importante ter em mente que, mesmo que uma senha tenha sido classicada como muito forte, pode ser que ela n o seja uma boa senha caso contenha a dados pessoais que n o s o de conhecimento do servico, mas que podem ser de conhecimento de um a a atacante. Apenas voc e capaz de denir se a senha elaborada e realmente boa! e
senhas e os padr es usados para ilustrar as dicas, tanto nesta como nas vers es anteriores da Cartilha, n o devem o o a ser usados pois j s o de conhecimento p blico. Voc deve adaptar estas dicas e criar suas pr prias senhas e padr es. a a u e o o
2 As
8. Contas e senhas
63
8.3
Alteracao de senhas
Voc deve alterar a sua senha imediatamente sempre que desconar que ela pode ter sido descoe berta ou que o computador no qual voc a utilizou pode ter sido invadido ou infectado. e Algumas situacoes onde voc deve alterar rapidamente a sua senha s o: e a se um computador onde a senha esteja armazenada tenha sido furtado ou perdido; se usar um padr o para a formacao de senhas e desconar que uma delas tenha sido descoberta. a Neste caso, tanto o padr o como todas as senhas elaboradas com ele devem ser trocadas pois, a com base na senha descoberta, um atacante pode conseguir inferir as demais; se utilizar uma mesma senha em mais de um lugar e desconar que ela tenha sido descoberta em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais e usada; ao adquirir equipamentos acessveis via rede, como roteadores Wi-Fi, dispositivos bluetooth e modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos s o cona gurados de f brica com senha padr o, facilmente obtida em listas na Internet, e por isto, sempre a a que possvel, deve ser alterada (mais detalhes no Captulo Seguranca de redes). Nos demais casos e importante que a sua senha seja alterada regularmente, como forma de assegurar a condencialidade. N o h como denir, entretanto, um perodo ideal para que a troca seja a a feita, pois depende diretamente de qu o boa ela e e de quanto voc a exp e (voc a usa em computaa e o e dores de terceiros? Voc a usa para acessar outros sites? Voc mant m seu computador atualizado?). e e e N o conv m que voc troque a senha em perodos muito curtos (menos de um m s, por exemplo) a e e e se, para conseguir se recordar, precisar elaborar uma senha fraca ou anot -la em um papel e col -lo a a a no monitor do seu computador. Perodos muito longos (mais de um ano, por exemplo) tamb m n o e a s o desej veis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes. a a
8.4
Gerenciamento de contas e senhas
Voc j pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar e a todos os servicos que utiliza e que exigem autenticacao? Atualmente, conar apenas na memorizacao pode ser algo bastante arriscado. Para resolver este problema muitos usu rios acabam usando t cnicas que podem ser bastante a e perigosas e que, sempre que possvel, devem ser evitadas. Algumas destas t cnicas e os cuidados que e voc deve tomar caso, mesmo ciente dos riscos, opte por us -las s o: e a a Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada. procure n o usar a mesma senha para assuntos pessoais e prossionais; a jamais reutilize senhas que envolvam o acesso a dados sensveis, como as usadas em Internet Banking ou e-mail.
64
Usar opcoes como Lembre-se de mim e Continuar conectado: o uso destas opcoes faz com que informacoes da sua conta de usu rio sejam salvas em cookies que podem ser indevidamente a coletados e permitam que outras pessoas se autentiquem como voc . e use estas opcoes somente nos sites nos quais o risco envolvido e bastante baixo; jamais as utilize em computadores de terceiros. Salvar as senhas no navegador Web: esta pr tica e bastante arriscada, pois caso as senhas n o esa a tejam criptografadas com uma chave mestra, elas podem ser acessadas por c digos maliciosos, o atacantes ou outras pessoas que venham a ter acesso ao computador. assegure-se de congurar uma chave mestra; seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas depende diretamente da seguranca dela; n o esqueca sua chave mestra. a Para n o ter que recorrer a estas t cnicas ou correr o risco de esquecer suas contas/senhas ou, pior a e ainda, ter que apelar para o uso de senhas fracas, voc pode buscar o auxlio de algumas das formas e de gerenciamento disponveis. Uma forma bastante simples de gerenciamento e listar suas contas/senhas em um papel e guard a lo em um local seguro (como uma gaveta trancada). Neste caso, a seguranca depende diretamente da diculdade de acesso ao local escolhido para guardar este papel (de nada adianta col -lo no monitor, a deix -lo embaixo do teclado ou sobre a mesa). Veja que e prefervel usar este m todo a optar pelo uso a e de senhas fracas pois, geralmente, e mais f cil garantir que ningu m ter acesso fsico ao local onde a e a o papel est guardado do que evitar que uma senha fraca seja descoberta na Internet. a Caso voc considere este m todo pouco pr tico, pode optar por outras formas de gerenciamento e e a como as apresentadas a seguir, juntamente com alguns cuidados b sicos que voc deve ter ao us -las: a e a Criar grupos de senhas, de acordo com o risco envolvido: voc pode criar senhas unicas e base tante fortes e us -las onde haja recursos valiosos envolvidos (por exemplo, para acesso a Ina ternet Banking ou e-mail). Outras senhas unicas, por m um pouco mais simples, para casos e inferior (por exemplo, sites de com rcio eletr nico, nos quais o valor do recurso protegido e e o desde que suas informacoes de pagamento, como n mero de cart o de cr dito, n o sejam ar u a e a mazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para baixar um determinado arquivo). reutilize senhas apenas em casos nos quais o risco envolvido e bastante baixo. Usar um programa gerenciador de contas/senhas: programas, como 1Password3 e KeePass4 , per mitem armazenar grandes quantidades de contas/senhas em um unico arquivo, acessvel por meio de uma chave mestra. seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas depende diretamente da seguranca dela;
3 1Password 4 KeePass
- https://agilebits.com/onepassword. - http://keepass.info/.
8. Contas e senhas
65
n o esqueca sua chave mestra (sem ela, n o h como voc acessar os arquivos que foram a a a e criptografados, ou seja, todas as suas contas/senhas podem ser perdidas); assegure-se de obter o programa gerenciador de senhas de uma fonte con vel e de sempre a mant -lo atualizado; e evite depender do programa gerenciador de senhas para acessar a conta do e-mail de recuperacao (mais detalhes na Secao 8.5). Gravar em um arquivo criptografado: voc pode manter um arquivo criptografado em seu come putador e utiliz -lo para cadastrar manualmente todas as suas contas e senhas. a assegure-se de manter o arquivo sempre criptografado; assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja cadastrada no arquivo, voc deve lembrar de atualiz -lo); e a faca backup do arquivo de senhas, para evitar perd -lo caso haja problemas em seu com e putador.
8.5
Recuperacao de senhas
Mesmo que voc tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de e gerenciamento, podem ocorrer casos, por in meros motivos, de voc perd -la. Para restabelecer o u e e acesso perdido, alguns sistemas disponibilizam recursos como: permitir que voc responda a uma pergunta de seguranca previamente determinada por voc ; e e enviar a senha, atual ou uma nova, para o e-mail de recuperacao previamente denido por voc ; e conrmar suas informacoes cadastrais, como data de anivers rio, pas de origem, nome da m e, a a n meros de documentos, etc; u apresentar uma dica de seguranca previamente cadastrada por voc ; e enviar por mensagem de texto para um n mero de celular previamente cadastrado por voc . u e Todos estes recursos podem ser muito uteis, desde que cuidadosamente utilizados, pois assim como podem permitir que voc recupere um acesso, tamb m podem ser usados por atacantes que e e queiram se apossar da sua conta. Alguns cuidados que voc deve tomar ao us -los s o: e a a cadastre uma dica de seguranca que seja vaga o suciente para que ningu m mais consiga e descobri-la e clara o bastante para que voc consiga entend -la. Exemplo: se sua senha for e e SS0l, asstrr0-rrei d0 SSisstema SS0larr5 , pode cadastrar a dica Uma das notas musicais, o que o far se lembrar da palavra Sol e se recordar da senha; a
5 Esta
senha foi sugerida na Secao 8.2.
66
seja cuidadoso com as informacoes que voc disponibiliza em blogs e redes sociais, pois po e dem ser usadas por atacantes para tentar conrmar os seus dados cadastrais, descobrir dicas e responder perguntas de seguranca (mais detalhes no Captulo Privacidade); evite cadastrar perguntas de seguranca que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua m e. Procure criar suas pr prias perguntas e, de prefer ncia, com a o e respostas falsas. Exemplo: caso voc tenha medo de altura, pode criar a pergunta Qual seu e esporte favorito? e colocar como resposta paraquedismo ou alpinismo; ao receber senhas por e-mail procure alter -las o mais r pido possvel. Muitos sistemas enviam a a as senhas em texto claro, ou seja, sem nenhum tipo de criptograa e elas podem ser obtidas caso ` algu m tenha acesso a sua conta de e-mail ou utilize programas para interceptacao de tr fego e a (mais detalhes na Secao 3.4 do Captulo Ataques na Internet); procure cadastrar um e-mail de recuperacao que voc acesse regularmente, para n o esquecer a e a senha desta conta tamb m; e procure n o depender de programas gerenciadores de senhas para acessar o e-mail de recupea racao (caso voc esqueca sua chave mestra ou, por algum outro motivo, n o tenha mais acesso e a ` as suas senhas, o acesso ao e-mail de recuperacao pode ser a unica forma de restabelecer os acessos perdidos); preste muita atencao ao cadastrar o e-mail de recuperacao para n o digitar um endereco que seja a inv lido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de a conrmacao assim que o cadastro e realizado. Tenha certeza de receb -la e de que as eventuais e instrucoes de vericacao tenham sido executadas.
9. Criptograa
A criptograa, considerada como a ci ncia e a arte de escrever mensagens em forma cifrada ou e em c digo, e um dos principais mecanismos de seguranca que voc pode usar para se proteger dos o e riscos associados ao uso da Internet. A primeira vista ela at pode parecer complicada, mas para usufruir dos benefcios que proporcie ona voc n o precisa estud -la profundamente e nem ser nenhum matem tico experiente. Atualmente, e a a a ` a criptograa j est integrada ou pode ser facilmente adicionada a grande maioria dos sistemas opea a racionais e aplicativos e para us -la, muitas vezes, basta a realizacao de algumas conguracoes ou a cliques de mouse. Por meio do uso da criptograa voc pode: e proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e a sua declaracao de Imposto de Renda; criar uma area (particao) especca no seu computador, na qual todas as informacoes que forem l gravadas ser o automaticamente criptografadas; a a proteger seus backups contra acesso indevido, principalmente aqueles enviados para areas de armazenamento externo de mdias; proteger as comunicacoes realizadas pela Internet, como os e-mails enviados/recebidos e as transacoes banc rias e comerciais realizadas. a Nas pr ximas secoes s o apresentados alguns conceitos de criptograa. Antes, por m, e imporo a e tante que voc se familiarize com alguns termos geralmente usados e que s o mostrados na Tabela 9.1. e a
67
68
Termo Texto claro Texto codicado (cifrado) Codicar (cifrar) Decodicar (decifrar) M todo criptogr co e a Chave Canal de comunicacao Remetente Destinat rio a

Signicado Informacao legvel (original) que ser protegida, ou seja, que ser codicada a a Texto ilegvel, gerado pela codicacao de um texto claro Ato de transformar um texto claro em um texto codicado Ato de transformar um texto codicado em um texto claro Conjunto de programas respons vel por codicar e decodicar informacoes a Similar a uma senha, e utilizada como elemento secreto pelos m todos cripe togr cos. Seu tamanho e geralmente medido em quantidade de bits a Meio utilizado para a troca de informacoes Pessoa ou servico que envia a informacao Pessoa ou servico que recebe a informacao
Tabela 9.1: Termos empregados em criptograa e comunicacoes via Internet.
9.1
Criptograa de chave sim trica e de chaves assim tricas e e
De acordo com o tipo de chave usada, os m todos criptogr cos podem ser subdivididos em duas e a grandes categorias: criptograa de chave sim trica e criptograa de chaves assim tricas. e e Criptograa de chave sim trica: tamb m chamada de criptograa de chave secreta ou unica, utie e liza uma mesma chave tanto para codicar como para decodicar informacoes, sendo usada principalmente para garantir a condencialidade dos dados. Casos nos quais a informacao e codicada e decodicada por uma mesma pessoa n o h ne a a cessidade de compartilhamento da chave secreta. Entretanto, quando estas operacoes envolvem pessoas ou equipamentos diferentes, e necess rio que a chave secreta seja previamente combia nada por meio de um canal de comunicacao seguro (para n o comprometer a condencialidade a da chave). Exemplos de m todos criptogr cos que usam chave sim trica s o: AES, Blowsh, e a e a RC4, 3DES e IDEA. Criptograa de chaves assim tricas: tamb m conhecida como criptograa de chave p blica, utie e u liza duas chaves distintas: uma p blica, que pode ser livremente divulgada, e uma privada, que u deve ser mantida em segredo por seu dono. Quando uma informacao e codicada com uma das chaves, somente a outra chave do par pode decodic -la. Qual chave usar para codicar depende da protecao que se deseja, se condencia alidade ou autenticacao, integridade e n o-rep dio. A chave privada pode ser armazenada de di a u ferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de m todos criptogr cos que usam chaves assim tricas s o: RSA, DSA, ECC e Dife-Hellman. e a e a A criptograa de chave sim trica, quando comparada com a de chaves assim tricas, e a mais e e indicada para garantir a condencialidade de grandes volumes de dados, pois seu processamento e mais r pido. Todavia, quando usada para o compartilhamento de informacoes, se torna complexa e a pouco escal vel, em virtude da: a necessidade de um canal de comunicacao seguro para promover o compartilhamento da chave secreta entre as partes (o que na Internet pode ser bastante complicado) e; diculdade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secretas seriam necess rias para voc se comunicar com todos os seus amigos). a e
9. Criptograa
69
A criptograa de chaves assim tricas, apesar de possuir um processamento mais lento que a de e chave sim trica, resolve estes problemas visto que facilita o gerenciamento (pois n o requer que se e a mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um canal de comunicacao seguro para o compartilhamento de chaves. Para aproveitar as vantagens de cada um destes m todos, o ideal e o uso combinado de ambos, e onde a criptograa de chave sim trica e usada para a codicacao da informacao e a criptograa e de chaves assim tricas e utilizada para o compartilhamento da chave secreta (neste caso, tamb m e e chamada de chave de sess o). Este uso combinado e o que e utilizado pelos navegadores Web e a programas leitores de e-mails. Exemplos de uso deste m todo combinado s o: SSL, PGP e S/MIME. e a
9.2
Funcao de resumo (Hash)
Uma funcao de resumo e um m todo criptogr co que, quando aplicado sobre uma informacao, e a independente do tamanho que ela tenha, gera um resultado unico e de tamanho xo, chamado hash1 . Voc pode utilizar hash para: e vericar a integridade de um arquivo armazenado em seu computador ou em seus backups; vericar a integridade de um arquivo obtido da Internet (alguns sites, al m do arquivo em si, e tamb m disponibilizam o hash correspondente, para que voc possa vericar se o arquivo foi e e corretamente transmitido e gravado); gerar assinaturas digitais, como descrito na Secao 9.3. Para vericar a integridade de um arquivo, por exemplo, voc pode calcular o hash dele e, quando e julgar necess rio, gerar novamente este valor. Se os dois hashes forem iguais ent o voc pode concluir a a e que o arquivo n o foi alterado. Caso contr rio, este pode ser um forte indcio de que o arquivo esteja a a corrompido ou que foi modicado. Exemplos de m todos de hash s o: SHA-1, SHA-256 e MD5. e a
9.3
Assinatura digital
A assinatura digital permite comprovar a autenticidade e a integridade de uma informacao, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela n o foi alterada. a A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codicar uma informacao, ent o apenas seu dono poderia ter feito isto. A vericacao a da assinatura e feita com o uso da chave p blica, pois se o texto foi codicado com a chave privada, u somente a chave p blica correspondente pode decodic -lo. u a Para contornar a baixa eci ncia caracterstica da criptograa de chaves assim tricas, a codicae e cao e feita sobre o hash e n o sobre o conte do em si, pois e mais r pido codicar o hash (que possui a u a tamanho xo e reduzido) do que a informacao toda.
hash e gerado de tal forma que n o e possvel realizar o processamento inverso para se obter a informacao original a e que qualquer alteracao na informacao original produzir um hash distinto. Apesar de ser teoricamente possvel que a informacoes diferentes gerem hashes iguais, a probabilidade disto ocorrer e bastante baixa.
1O
70
9.4
Certicado digital
Como dito anteriormente, a chave p bica pode ser livremente divulgada. Entretanto, se n o houu a ver como comprovar a quem ela pertence, pode ocorrer de voc se comunicar, de forma cifrada, e diretamente com um impostor. Um impostor pode criar uma chave p blica falsa para um amigo seu e envi -la para voc ou dispou a e nibiliz -la em um reposit rio. Ao us -la para codicar uma informacao para o seu amigo, voc estar , a o a e a na verdade, codicando-a para o impostor, que possui a chave privada correspondente e conseguir a decodicar. Uma das formas de impedir que isto ocorra e pelo uso de certicados digitais. O certicado digital e um registro eletr nico composto por um conjunto de dados que distingue o uma entidade e associa a ela uma chave p blica. Ele pode ser emitido para pessoas, empresas, equipau mentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como condencialidade e assinatura digital. Um certicado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no qual constam os seus dados pessoais e a identicacao de quem o emitiu. No caso do passaporte, a entidade respons vel pela emiss o e pela veracidade dos dados e a Polcia Federal. No a a caso do certicado digital esta entidade e uma Autoridade Certicadora (AC). Uma AC emissora e tamb m respons vel por publicar informacoes sobre certicados que n o s o e a a a mais con veis. Sempre que a AC descobre ou e informada que um certicado n o e mais con vel, a a a ela o inclui em uma lista negra, chamada de Lista de Certicados Revogados (LCR) para que os usu rios possam tomar conhecimento. A LCR e um arquivo eletr nico publicado periodicamente a o pela AC, contendo o n mero de s rie dos certicados que n o s o mais v lidos e a data de revogacao. u e a a a A Figura 9.1 ilustra como os certicados digitais s o apresentados nos navegadores Web. Note a que, embora os campos apresentados sejam padronizados, a representacao gr ca pode variar entre a diferentes navegadores e sistemas operacionais. De forma geral, os dados b sicos que comp em um a o certicado digital s o: a vers o e n mero de s rie do certicado; a u e dados que identicam a AC que emitiu o certicado; dados que identicam o dono do certicado (para quem ele foi emitido); chave p blica do dono do certicado; u a validade do certicado (quando foi emitido e at quando e v lido); e assinatura digital da AC emissora e dados para vericacao da assinatura. O certicado digital de uma AC e emitido, geralmente, por outra AC, estabelecendo uma hierarquia conhecida como cadeia de certicados ou caminho de certicacao, conforme ilustrado na Figura 9.2. A AC raiz, primeira autoridade da cadeia, e a ancora de conanca para toda a hierarquia e, por n o existir outra AC acima dela, possui um certicado autoassinado (mais detalhes a seguir). Os a certicados das ACs razes publicamente reconhecidas j v m inclusos, por padr o, em grande parte a e a dos sistemas operacionais e navegadores e s o atualizados juntamente com os pr prios sistemas. Ala o guns exemplos de atualizacoes realizadas na base de certicados dos navegadores s o: inclus o de a a novas ACs, renovacao de certicados vencidos e exclus o de ACs n o mais con veis. a a a
9. Criptograa
71
Figura 9.1: Exemplos de certicados digitais. Alguns tipos especiais de certicado digital que voc pode encontrar s o: e a Certicado autoassinado: e aquele no qual o dono e o emissor s o a mesma entidade. Costuma ser a usado de duas formas: Legtima: al m das ACs razes, certicados autoassinados tamb m costumam ser usados por e e instituicoes de ensino e pequenos grupos que querem prover condencialidade e integri dade nas conex es, mas que n o desejam (ou n o podem) arcar com o onus de adquirir o a a um certicado digital validado por uma AC comercial. Maliciosa: um atacante pode criar um certicado autoassinado e utilizar, por exemplo, mensagens de phishing (mais detalhes na Secao 2.3 do Captulo Golpes na Internet), para induzir os usu rios a instal -lo. A partir do momento em que o certicado for instalado no navea a gador, passa a ser possvel estabelecer conex es cifradas com sites fraudulentos, sem que o ` o navegador emita alertas quanto a conabilidade do certicado.
72
Figura 9.2: Cadeia de certicados. Certicado EV SSL (Extended Validation Secure Socket Layer): certicado emitido sob um processo mais rigoroso de validacao do solicitante. Inclui a vericacao de que a empresa foi legal mente registrada, encontra-se ativa e que det m o registro do domnio para o qual o certicado e ser emitido, al m de dados adicionais, como o endereco fsico. a e Dicas sobre como reconhecer certicados autoassinados e com validacao avancada s o apresenta a dos na Secao 10.1 do Captulo Uso seguro da Internet.
9.5
Programas de criptograa
Para garantir a seguranca das suas mensagens e importante usar programas leitores de e-mails com suporte nativo a criptograa (por exemplo, que implementam S/MIME - Secure/Multipurpose Internet Mail Extensions) ou que permitam a integracao de outros programas e complementos es peccos para este m. Programas de criptograa, como o GnuPG2 , al m de poderem ser integrados aos programas leie tores de e-mails, tamb m podem ser usados separadamente para cifrar outros tipos de informacao, e como os arquivos armazenados em seu computador ou em mdias removveis. Existem tamb m programas (nativos do sistema operacional ou adquiridos separadamente) que e permitem cifrar todo o disco do computador, diret rios de arquivos e dispositivos de armazenamento o externo (como pen-drives e discos), os quais visam preservar o sigilo das informacoes em caso de perda ou furto do equipamento.
O GnuPG n o utiliza o conceito de certicados digitais emitidos por uma hierarquia a de autoridades certicadoras. A conanca nas chaves e estabelecida por meio do modelo conhecido como rede de conanca, no qual prevalece a conanca entre cada entidade.
2 http://www.gnupg.org/.
9. Criptograa
73
9.6
Cuidados a serem tomados
Proteja seus dados: utilize criptograa sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o destinat rio possa l -la; a e utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao destinat rio que foi voc quem a enviou e que o conte do n o foi alterado; a e u a s envie dados sensveis ap s certicar-se de que est usando uma conex o segura (mais detao o a a lhes na Secao 10.1 do Captulo Uso seguro da Internet); utilize criptograa para conex o entre seu leitor de e-mails e os servidores de e-mail do seu a provedor; cifre o disco do seu computador e dispositivos removveis, como disco externo e pen-drive. Desta forma, em caso de perda ou furto do equipamento, seus dados n o poder o ser indevidaa a mente acessados; verique o hash, quando possvel, dos arquivos obtidos pela Internet (isto permite que voc e detecte arquivos corrompidos ou que foram indevidamente alterados durante a transmiss o). a Seja cuidadoso com as suas chaves e certicados: utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela ser a ataques a de forca bruta (mais detalhes na Secao 3.5 do Captulo Ataques na Internet); n o utilize chaves secretas obvias (mais detalhes na Secao 8.2 do Captulo Contas e senhas); a certique-se de n o estar sendo observado ao digitar suas chaves e senhas de protecao; a utilize canais de comunicacao seguros quando compartilhar chaves secretas; armazene suas chaves privadas com algum mecanismo de protecao, como por exemplo senha, para evitar que outra pessoa faca uso indevido delas; preserve suas chaves. Procure fazer backups e mantenha-os em local seguro (se voc perder uma e chave secreta ou privada, n o poder decifrar as mensagens que dependiam de tais chaves); a a tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente infectados ou comprometidos, como em LAN houses, cybercafes, stands de eventos, etc; ` se suspeitar que outra pessoa teve acesso a sua chave privada (por exemplo, porque perdeu o dispositivo em que ela estava armazenada ou porque algu m acessou indevidamente o compue ` tador onde ela estava guardada), solicite imediatamente a revogacao do certicado junto a AC emissora.
74
Seja cuidadoso ao aceitar um certicado digital: mantenha seu sistema operacional e navegadores Web atualizados (al m disto contribuir para e a seguranca geral do seu computador, tamb m serve para manter as cadeias de certicados e sempre atualizadas); mantenha seu computador com a data correta. Al m de outros benefcios, isto impede que cere ticados v lidos sejam considerados n o con veis e, de forma contr ria, que certicados n o a a a a a con veis sejam considerados v lidos (mais detalhes no Captulo Seguranca de computadores); a a ao acessar um site Web, observe os smbolos indicativos de conex o segura e leia com atencao a eventuais alertas exibidos pelo navegador (mais detalhes na Secao 10.1 do Captulo Uso seguro da Internet); caso o navegador n o reconheca o certicado como con vel, apenas prossiga com a navegacao a a se tiver certeza da idoneidade da instituicao e da integridade do certicado, pois, do contr rio, a poder estar aceitando um certicado falso, criado especicamente para cometer fraudes (detaa lhes sobre como fazer isto na Secao 10.1.2 do Captulo Uso seguro da Internet).
10. Uso seguro da Internet
A Internet traz in meras possibilidades de uso, por m para aproveitar cada uma delas de forma u e segura e importante que alguns cuidados sejam tomados. Al m disto, como grande parte das acoes e realizadas na Internet ocorrem por interm dio de navegadores Web e igualmente importante que voc e e saiba reconhecer os tipos de conex es existentes e vericar a conabilidade dos certicados digitais o antes de aceit -los (detalhes sobre como fazer isto s o apresentados na Secao 10.1). a a Alguns dos principais usos e cuidados que voc deve ter ao utilizar a Internet s o: e a Ao usar navegadores Web: mantenha-o atualizado, com a vers o mais recente e com todas as atualizacoes aplicadas; a congure-o para vericar automaticamente atualizacoes, tanto dele pr prio como de comple o mentos que estejam instalados; permita a execucao de programas Java e JavaScript, por m assegure-se de utilizar comple e mentos, como o NoScript (disponvel para alguns navegadores), para liberar gradualmente a execucao, conforme necess rio, e apenas em sites con veis (mais detalhes na Secao 6.2 do a a Captulo Outros riscos);
75
76
permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e con veis (mais detalhes tamb m na Secao 6.2, do Captulo Outros riscos); a e seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Secao 6.1 do Captulo Outros riscos); caso opte por permitir que o navegador grave as suas senhas, tenha certeza de cadastrar uma chave mestra e de jamais esquec -la (mais detalhes na Secao 8.4, do Captulo Contas e senhas); e mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores). Ao usar programas leitores de e-mails: mantenha-o atualizado, com a vers o mais recente e com as todas atualizacoes aplicadas; a congure-o para vericar automaticamente atualizacoes, tanto dele pr prio como de comple o mentos que estejam instalados; n o utilize-o como navegador Web (desligue o modo de visualizacao no formato HTML); a seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Secao 6.1 do Captulo Outros riscos); seja cuidadoso ao clicar em links presentes em e-mails (se voc realmente quiser acessar a e p gina do link, digite o endereco diretamente no seu navegador Web); a ` descone de arquivos anexados a mensagem mesmo que tenham sido enviados por pessoas ou instituicoes conhecidas (o endereco do remetente pode ter sido falsicado e o arquivo anexo pode estar infectado); ` antes de abrir um arquivo anexado a mensagem tenha certeza de que ele n o apresenta riscos, a vericando-o com ferramentas antimalware; verique se seu sistema operacional est congurado para mostrar a extens o dos arquivos a a anexados; desligue as opcoes que permitem abrir ou executar automaticamente arquivos ou programas ` anexados as mensagens; desligue as opcoes de execucao de JavaScript e de programas Java; habilite, se possvel, opcoes para marcar mensagens suspeitas de serem fraude; use sempre criptograa para conex o entre seu leitor de e-mails e os servidores de e-mail do a seu provedor; mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores). Ao acessar Webmails: seja cuidadoso ao acessar a p gina de seu Webmail para n o ser vtima de phishing. Digite a a a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de mensagens eletr nicas (mais detalhes na Secao 2.3 do Captulo Golpes na Internet); o
77
n o utilize um site de busca para acessar seu Webmail (n o h necessidade disto, j que URLs a a a a deste tipo s o, geralmente, bastante conhecidas); a seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela seja descoberta por meio de ataques de forca bruta (mais detalhes na Secao 8.2 do Captulo Contas e senhas); congure opcoes de recuperacao de senha, como um endereco de e-mail alternativo, uma quest o de seguranca e um n mero de telefone celular (mais detalhes na Secao 8.5 do Capa u tulo Contas e senhas); evite acessar seu Webmail em computadores de terceiros e, caso seja realmente necess rio, a ative o modo de navegacao an nima (mais detalhes na Secao 12.3 do Captulo Seguranca de o computadores); certique-se de utilizar conex es seguras sempre que acessar seu Webmail, especialmente ao o usar redes Wi-Fi p blicas. Se possvel congure para que, por padr o, sempre seja utilizada u a o 10.1); conex o via https (mais detalhes na Seca a mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores). Ao efetuar transacoes banc rias e acessar sites de Internet Banking: a certique-se da proced ncia do site e da utilizacao de conex es seguras ao realizar transacoes e o banc rias via Web (mais detalhes na Secao 10.1); a somente acesse sites de instituicoes banc rias digitando o endereco diretamente no navegador a Web, nunca clicando em um link existente em uma p gina ou em uma mensagem; a n o utilize um site de busca para acessar o site do seu banco (n o h necessidade disto, j que a a a a URLs deste tipo s o, geralmente, bastante conhecidas); a ao acessar seu banco, forneca apenas uma posicao do seu cart o de seguranca (descone caso, a em um mesmo acesso, seja solicitada mais de uma posicao); n o forneca senhas ou dados pessoais a terceiros, especialmente por telefone; a desconsidere mensagens de instituicoes banc rias com as quais voc n o tenha relacao, princi a e a palmente aquelas que solicitem dados pessoais ou a instalacao de m dulos de seguranca; o sempre que car em d vida, entre em contato com a central de relacionamento do seu banco ou u diretamente com o seu gerente; n o realize transacoes banc rias por meio de computadores de terceiros ou redes Wi-Fi p blicas; a a u verique periodicamente o extrato da sua conta banc ria e do seu cart o de cr dito e, caso a a e detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart o; a antes de instalar um m dulo de seguranca, de qualquer Internet Banking, certique-se de que o o autor m dulo e realmente a instituicao em quest o; o a mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores).
78
Ao efetuar transacoes comerciais e acessar sites de com rcio eletr nico: e o certique-se da proced ncia do site e da utilizacao de conex es seguras ao realizar compras e e o pagamentos via Web (mais detalhes na Secao 10.1); somente acesse sites de com rcio eletr nico digitando o endereco diretamente no navegador e o Web, nunca clicando em um link existente em uma p gina ou em uma mensagem; a n o utilize um site de busca para acessar o site de com rcio eletr nico que voc costuma acessar a e o e (n o h necessidade disto, j que URLs deste tipo s o, geralmente, bastante conhecidas); a a a a pesquise na Internet refer ncias sobre o site antes de efetuar uma compra; e descone de precos muito abaixo dos praticados no mercado; n o realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi a p blicas; u sempre que car em d vida, entre em contato com a central de relacionamento da empresa onde u est fazendo a compra; a verique periodicamente o extrato da sua conta banc ria e do seu cart o de cr dito e, caso a a e detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart o de cr dito; a e ao efetuar o pagamento de uma compra, nunca forneca dados de cart o de cr dito em sites sem a e conex o segura ou em e-mails n o criptografados; a a mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores).
10.1
Seguranca em conex es Web o
Ao navegar na Internet, e muito prov vel que a grande maioria dos acessos que voc realiza n o a e a envolva o tr fego de informacoes sigilosas, como quando voc acessa sites de pesquisa ou de notcias. a e Esses acessos s o geralmente realizados pelo protocolo HTTP, onde as informacoes trafegam em texto a claro, ou seja, sem o uso de criptograa. O protocolo HTTP, al m de n o oferecer criptograa, tamb m n o garante que os dados n o e a e a a possam ser interceptados, coletados, modicados ou retransmitidos e nem que voc esteja se comunie cando exatamente com o site desejado. Por estas caractersticas, ele n o e indicado para transmiss es a o que envolvem informacoes sigilosas, como senhas, n meros de cart o de cr dito e dados banc rios, e u a e a deve ser substitudo pelo HTTPS, que oferece conex es seguras. o O protocolo HTTPS utiliza certicados digitais para assegurar a identidade, tanto do site de destino como a sua pr pria, caso voc possua um. Tamb m utiliza m todos criptogr cos e outros o e e e a protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar a condencialidade e a integridade das informacoes. Sempre que um acesso envolver a transmiss o de informacoes sigilosas, e importante certicara se do uso de conex es seguras. Para isso, voc deve saber como identicar o tipo de conex o sendo o e a
79
realizada pelo seu navegador Web e car atento aos alertas apresentados durante a navegacao, para que possa, se necess rio, tomar decis es apropriadas. Dicas para ajud -lo nestas tarefas s o apresentadas a o a a nas Secoes 10.1.1 e 10.1.2.
10.1.1
Tipos de conex o a
Para facilitar a identicacao do tipo de conex o em uso voc pode buscar auxlio dos mecanismos a e 1 mais usados atualmente. Estes mecanismos, apesar de gr cos disponveis nos navegadores Web a poderem variar de acordo com o fabricante de cada navegador, do sistema operacional e da vers o a em uso, servem como um forte indcio do tipo de conex o sendo usada e podem orient -lo a tomar a a decis es corretas. o De maneira geral, voc vai se deparar com os seguintes tipos de conex es: e o Conex o padr o: e a usada na maioria dos acessos realizados. N o prov requisitos de seguranca. a a a e Alguns indicadores deste tipo de conex o, ilustrados na Figura 10.1, s o: a a o endereco do site comeca com http://; em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padr o das conex es, a o pode ser omitido na barra de enderecos; ` um smbolo do site (logotipo) e apresentado pr ximo a barra de endereco e, ao passar o o mouse sobre ele, n o e possvel obter detalhes sobre a identidade do site. a
Figura 10.1: Conex o n o segura em diversos navegadores. a a Conex o segura: e a que deve ser utilizada quando dados sensveis s o transmitidos, geralmente a a usada para acesso a sites de Internet Banking e de com rcio eletr nico. Prov autenticacao, e o e integridade e condencialidade, como requisitos de seguranca. Alguns indicadores deste tipo de conex o, ilustrados na Figura 10.2, s o: a a o endereco do site comeca com https://; o desenho de um cadeado fechado e mostrado na barra de endereco e, ao clicar sobre ele, detalhes sobre a conex o e sobre o certicado digital em uso s o exibidos; a a um recorte colorido (branco ou azul) com o nome do domnio do site e mostrado ao lado ` da barra de endereco (` esquerda ou a direita) e, ao passar o mouse ou clicar sobre ele, s o a a 2. exibidos detalhes sobre conex o e certicado digital em uso a
80
Figura 10.2: Conex o segura em diversos navegadores. a
Conex o segura com EV SSL: prov os mesmos requisitos de seguranca que a conex o segura ana e a ` terior, por m com maior grau de conabilidade quanto a identidade do site e de seu dono, pois e utiliza certicados EV SSL (mais detalhes na Secao 9.4 do Captulo Criptograa). Al m de e apresentar indicadores similares aos apresentados na conex o segura sem o uso de EV SSL, a tamb m introduz um indicador pr prio, ilustrado na Figura 10.3, que e: e o a barra de endereco e/ou o recorte s o apresentados na cor verde e no recorte e colocado a 3. o nome da instituicao dona do site
Figura 10.3: Conex o segura usando EV SSL em diversos navegadores. a
Outro nvel de protecao de conex o usada na Internet envolve o uso de certicados autoassinados a e/ou cuja cadeia de certicacao n o foi reconhecida. Este tipo de conex o n o pode ser caracteri a a a zado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e condencialidade, n o prov autenticacao, j que n o h garantias relativas ao certicado em uso. a e a a a Quando voc acessa um site utilizando o protocolo HTTPS, mas seu navegador n o reconhece a e a cadeia de certicacao, ele emite avisos como os descritos na Secao 10.1.2 e ilustrados na Figura 10.6. Caso voc , apesar dos riscos, opte por aceitar o certicado, a simbologia mostrada pelo seu navegador e ser a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conex o s o: a a a um cadeado com um X vermelho e apresentado na barra de endereco;
simbologia usada pelos navegadores Web pode ser diferente quando apresentada em dispositivos m veis. o azul e verde indicam que o site usa conex o segura. Ao passo que as cores amarelo a e vermelho indicam que pode haver algum tipo de problema relacionado ao certicado em uso. 3 As cores azul e branco indicam que o site possui um certicado de validacao de domnio (a entidade dona do site det m o direito de uso do nome de domnio) e a cor verde indica que o site possui um certicado de validacao estendida e (a entidade dona do site det m o direito de uso do nome de domnio em quest o e encontra-se legalmente registrada). e a
2 De maneira geral, as cores branco, 1A
81
a identicacao do protocolo https e apresentado em vermelho e riscado; a barra de endereco muda de cor, cando totalmente vermelha; um indicativo de erro do certicado e apresentado na barra de endereco; um recorte colorido com o nome do domnio do site ou da instituicao (dona do certicado) e mostrado ao lado da barra de endereco e, ao passar o mouse sobre ele, e informado que uma excecao foi adicionada.
Figura 10.4: Conex o HTTPS com cadeia de certicacao n o reconhecida. a a Certos sites fazem uso combinado, na mesma p gina Web, de conex o segura e n o segura. Neste a a a caso, pode ser que o cadeado desapareca, que seja exibido um cone modicado (por exemplo, um cadeado com tri ngulo amarelo), que o recorte contendo informacoes sobre o site deixe de ser exibido a ou ainda haja mudanca de cor na barra de endereco, como ilustrado na Figura 10.5.
Figura 10.5: Uso combinado de conex o segura e n o segura. a a Mais detalhes sobre como reconhecer o tipo de conex o em uso podem ser obtidos em: a Chrome - Como funcionam os indicadores de seguranca do website (em portugu s) e http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617 Mozilla Firefox - How do I tell if my connection to a website is secure? (em ingl s) e http://support.mozilla.org/en-US/kb/Site Identity Button Internet Explorer - Dicas para fazer transacoes online seguras (em portugu s) e http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-onlinetransaction-in-Internet-Explorer-9 Safari - Using encryption and secure connections (em ingl s) e http://support.apple.com/kb/HT2573
82
10.1.2
Como vericar se um certicado digital e con vel a
Para saber se um certicado e con vel, e necess rio observar alguns requisitos, dentre eles: a a se o certicado foi emitido por uma AC con vel (pertence a uma cadeia de conanca reconhea cida); se o certicado est dentro do prazo de validade; a se o certicado n o foi revogado pela AC emissora; a se o dono do certicado confere com a entidade com a qual est se comunicando (por exemplo: a o nome do site). Quando voc tenta acessar um site utilizando conex o segura, normalmente seu navegador j e a a realiza todas estas vericacoes. Caso alguma delas falhe, o navegador emite alertas semelhantes aos mostrados na Figura 10.6.
Figura 10.6: Alerta de certicado n o con vel em diversos navegadores. a a
83
Em geral, alertas s o emitidos em situacoes como: a o certicado est fora do prazo de validade; a o navegador n o identicou a cadeia de certicacao (dentre as possibilidades, o certicado a pode pertencer a uma cadeia n o reconhecida, ser autoassinado ou o navegador pode estar a desatualizado e n o conter certicados mais recentes de ACs); a o endereco do site n o confere com o descrito no certicado; a o certicado foi revogado. Ao receber os alertas do seu navegador voc pode optar por: e Desistir da navegacao: dependendo do navegador, ao selecionar esta opcao voc ser redirecionado e a para uma p gina padr o ou a janela do navegador ser fechada. a a a Solicitar detalhes sobre o problema: ao selecionar esta opcao, detalhes t cnicos ser o mostrados e e a voc pode us -los para compreender o motivo do alerta e decidir qual opcao selecionar. e a Aceitar os riscos: caso voc , mesmo ciente dos riscos, selecione esta opcao, a p gina desejada ser e a a apresentada e, dependendo do navegador, voc ainda ter a opcao de visualizar o certicado e a antes de efetivamente aceit -lo e de adicionar uma excecao (permanente ou tempor ria). a a Caso voc opte por aceitar os riscos e adicionar uma excecao, e importante que, antes de enviar e qualquer dado condencial, verique o conte do do certicado e observe: u se o nome da instituicao apresentado no certicado e realmente da instituicao que voc deseja e acessar. Caso n o seja, este e um forte indcio de certicado falso; a se as identicacoes de dono do certicado e da AC emissora s o iguais. Caso sejam, este e um a forte indcio de que se trata de um certicado autoassinado. Observe que instituicoes nanceiras e de com rcio eletr nico s rias dicilmente usam certicados deste tipo; e o e se o certicado encontra-se dentro do prazo de validade. Caso n o esteja, provavelmente o a certicado est expirado ou a data do seu computador n o est corretamente congurada. a a a De qualquer modo, caso voc receba um certicado desconhecido ao acessar um site e tenha e alguma d vida ou desconanca, n o envie qualquer informacao para o site antes de entrar em contato u a o que o mant m para esclarecer o ocorrido. com a instituica e
11. Privacidade
Nada impede que voc abdique de sua privacidade e, de livre e espont nea vontade, divulgue e a informacoes sobre voc . Entretanto, h situacoes em que, mesmo que voc queira manter a sua e a e privacidade, ela pode ser exposta independente da sua vontade, por exemplo quando: outras pessoas divulgam informacoes sobre voc ou imagens onde voc est presente, sem a e e a sua autorizacao pr via; e algu m, indevidamente, coleta informacoes que trafegam na rede sem estarem criptografadas, e como o conte do dos e-mails enviados e recebidos por voc (mais detalhes na Secao 3.4 do u e Captulo Ataques na Internet); um atacante ou um c digo malicioso obt m acesso aos dados que voc digita ou que est o o e e a armazenados em seu computador (mais detalhes no Captulo C digos maliciosos (Malware)); o um atacante invade a sua conta de e-mail ou de sua rede social e acessa informacoes restritas; um atacante invade um computador no qual seus dados est o armazenados como, por exemplo, a 1; um servidor de e-mails
existe um consenso etico entre administradores de redes e provedores de nunca lerem a caixa postal de um usu rio sem o seu consentimento. a
1 Normalmente
85
86
seus h bitos e suas prefer ncias de navegacao s o coletadas pelos sites que voc acessa e repasa e a e sadas para terceiros (mais detalhes na Secao 6.1 do Captulo Outros riscos). Para tentar proteger a sua privacidade na Internet h alguns cuidados que voc deve tomar, como: a e Ao acessar e armazenar seus e-mails: congure seu programa leitor de e-mails para n o abrir imagens que n o estejam na pr pria a a o mensagem (o fato da imagem ser acessada pode ser usado para conrmar que o e-mail foi lido); utilize programas leitores de e-mails que permitam que as mensagens sejam criptografadas, de modo que apenas possam ser lidas por quem conseguir decodic -las; a armazene e-mails condenciais em formato criptografado para evitar que sejam lidos por atacantes ou pela acao de c digos maliciosos (voc pode decodic -los sempre que desejar l -los); o e a e utilize conex o segura sempre que estiver acessando seus e-mails por meio de navegadores Web, a para evitar que eles sejam interceptados; utilize criptograa para conex o entre seu leitor de e-mails e os servidores de e-mail do seu a provedor; seja cuidadoso ao usar computadores de terceiros ou potencialmente infectados, para evitar que suas senhas sejam obtidas e seus e-mails indevidamente acessados; seja cuidadoso ao acessar seu Webmail, digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de mensagens eletr nicas; o mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores). Ao navegar na Web: seja cuidadoso ao usar cookies, pois eles podem ser usados para rastrear e manter as suas prefer ncias de navegacao, as quais podem ser compartilhadas entre diversos sites (mais detalhes e na Secao 6.1 do Captulo Outros riscos); utilize, quando disponvel, navegacao an nima, por meio de anonymizers ou de opcoes dis o ponibilizadas pelos navegadores Web (chamadas de privativa ou InPrivate). Ao fazer isto, informacoes, como cookies, sites acessados e dados de formul rios, n o s o gravadas pelo na a a a vegador Web; utilize, quando disponvel, opcoes que indiquem aos sites que voc n o deseja ser rastreado e a (Do Not Track). Alguns navegadores oferecem conguracoes de privacidade que permitem que voc informe aos sites que n o deseja que informacoes que possam afetar sua privacidade e a sejam coletadas2 ; utilize, quando disponvel, listas de protecao contra rastreamento, que permitem que voc libere e ou bloqueie os sites que podem rastre -lo; a mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores).
o momento de escrita desta Cartilha, n o existe um consenso sobre quais s o essas informacoes. Al m disto, as a a e conguracoes de rastreamento servem como um indicativo ao sites Web e n o h nada que os obrigue a respeit -las. a a a
2 At e
11. Privacidade
87
Ao divulgar informacoes na Web: esteja atento e avalie com cuidado as informacoes divulgadas em sua p gina Web ou blog, pois a elas podem n o s ser usadas por algu m mal-intencionado, por exemplo, em um golpe de a o e engenharia social, mas tamb m para atentar contra a seguranca do seu computador, ou mesmo e contra a sua seguranca fsica; procure divulgar a menor quantidade possvel de informacoes, tanto sobre voc como sobre e seus amigos e familiares, e tente orient -los a fazer o mesmo; a sempre que algu m solicitar dados sobre voc ou quando preencher algum cadastro, reita se e e e ` realmente necess rio que aquela empresa ou pessoa tenha acesso aquelas informacoes; a ao receber ofertas de emprego pela Internet, que solicitem o seu currculo, tente limitar a quan tidade de informacoes nele disponibilizada e apenas forneca mais dados quando estiver seguro de que a empresa e a oferta s o legtimas; a que atento a ligacoes telef nicas e e-mails pelos quais algu m, geralmente falando em nome o e de alguma instituicao, solicita informacoes pessoais sobre voc , inclusive senhas; e seja cuidadoso ao divulgar informacoes em redes sociais, principalmente aquelas envolvendo a sua localizacao geogr ca pois, com base nela, e possvel descobrir a sua rotina, deduzir a informacoes (como h bitos e classe nanceira) e tentar prever os pr ximos passos seus ou de a o seus familiares (mais detalhes na Secao 11.1).
11.1
Redes sociais
As redes sociais permitem que os usu rios criem pers e os utilia zem para se conectar a outros usu rios, compartilhar informacoes e se a agrupar de acordo com interesses em comum. Alguns exemplos s o: a Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare. As redes sociais, atualmente, j fazem parte do cotidiano de grande parte do usu rios da Internet, a a que as utilizam para se informar sobre os assuntos do momento e para saber o que seus amigos e dolos est o fazendo, o que est o pensando e onde est o. Tamb m s o usadas para outros ns, como a a a e a selecao de candidatos para vagas de emprego, pesquisas de opini o e mobilizacoes sociais. a As redes sociais possuem algumas caractersticas pr prias que as diferenciam de outros meios o de comunicacao, como a velocidade com que as informacoes se propagam, a grande quantidade de pessoas que elas conseguem atingir e a riqueza de informacoes pessoais que elas disponibilizam. Essas caractersticas, somadas ao alto grau de conanca que os usu rios costumam depositar entre si, a fez com que as redes sociais chamassem a atencao, tamb m, de pessoas mal-intencionadas. e Alguns dos principais riscos relacionados ao uso de redes sociais s o: a Contato com pessoas mal-intencionadas: qualquer pessoa pode criar um perl falso, tentando se passar por uma pessoa conhecida e, sem que saiba, voc pode ter na sua rede (lista) de contatos e pessoas com as quais jamais se relacionaria no dia a dia.
88
Furto de identidade: assim como voc pode ter um impostor na sua lista de contatos, tamb m pode e e acontecer de algu m tentar se passar por voc e criar um perl falso. Quanto mais informacoes e e voc divulga, mais convincente o seu perl falso poder ser e maiores ser o as chances de seus e a a amigos acreditarem que est o realmente se relacionando com voc . a e Invas o de perl: por meio de ataques de forca bruta, do acesso a p ginas falsas ou do uso de coma a putadores infectados, voc pode ter o seu perl invadido. Atacantes costumam fazer isto para, e al m de furtar a sua identidade, explorar a conanca que a sua rede de contatos deposita em e voc e us -la para o envio de spam e c digos maliciosos. e a o Uso indevido de informacoes: as informacoes que voc divulga, al m de poderem ser usadas para e e a criacao de perl falso, tamb m podem ser usadas em ataques de forca bruta, em golpes de e engenharia social e para responder quest es de seguranca usadas para recuperacao de senhas. o Invas o de privacidade: quanto maior a sua rede de contatos, maior e o n mero de pessoas que a u possui acesso ao que voc divulga, e menores s o as garantias de que suas informacoes n o e a a ser o repassadas. Al m disso, n o h como controlar o que os outros divulgam sobre voc . a e a a e Vazamento de informacoes: h diversos casos de empresas que tiveram o conte do de reuni es e a u o detalhes t cnicos de novos produtos divulgados na Internet e que, por isto, foram obrigadas a e rever polticas e antecipar, adiar ou cancelar decis es. o Disponibilizacao de informacoes condenciais: em uma troca amig vel de mensagens voc pode a e ser persuadido a fornecer seu e-mail, telefone, endereco, senhas, n mero do cart o de cr dito, u a e etc. As consequ ncias podem ser desde o recebimento de mensagens indesej veis at a utilizae a e cao do n mero de seu cart o de cr dito para fazer compras em seu nome. u a e Recebimento de mensagens maliciosas: algu m pode lhe enviar um arquivo contendo c digos mae o liciosos ou induzi-lo a clicar em um link que o levar a uma p gina Web comprometida. a a Acesso a conteudos impr prios ou ofensivos: como n o h um controle imediato sobre o que as o a a pessoas divulgam, pode ocorrer de voc se deparar com mensagens ou imagens que contenham e pornograa, viol ncia ou que incitem o odio e o racismo. e ` ` Danos a imagem e a reputacao: cal nia e difamacao podem rapidamente se propagar, jamais serem u ` excludas e causarem grandes danos as pessoas envolvidas, colocando em risco a vida prossi onal e trazendo problemas familiares, psicol gicos e de convvio social. Tamb m podem fazer o e com que empresas percam clientes e tenham prejuzos nanceiros. Sequestro: dados de localizacao podem ser usados por criminosos para descobrir a sua rotina e planejar o melhor hor rio e local para abord -lo. Por exemplo: se voc zer check-in (se a a e registrar no sistema) ao chegar em um cinema, um sequestrador pode deduzir que voc car e a por l cerca de 2 horas (duracao m dia de um lme) e ter este tempo para se deslocar e a e a programar o sequestro. Furto de bens: quando voc divulga que estar ausente por um determinado perodo de tempo para e a curtir as suas merecidas f rias, esta informacao pode ser usada por ladr es para saber quando e e o por quanto tempo a sua resid ncia car vazia. Ao retornar, voc pode ter a infeliz surpresa de e a e descobrir que seus bens foram furtados.
11. Privacidade
89
A seguir, observe alguns cuidados que voc deve ter ao usar as redes sociais. e Preserve a sua privacidade: considere que voc est em um local p blico, que tudo que voc divulga pode ser lido ou e a u e acessado por qualquer pessoa, tanto agora como futuramente; pense bem antes de divulgar algo, pois n o h possibilidade de arrependimento. Uma frase a a ou imagem fora de contexto pode ser mal-interpretada e causar mal-entendidos. Ap s uma o informacao ou imagem se propagar, dicilmente ela poder ser totalmente excluda; a use as opcoes de privacidade oferecidas pelos sites e procure ser o mais restritivo possvel (algumas opcoes costumam vir, por padr o, conguradas como p blicas e devem ser alteradas); a u mantenha seu perl e seus dados privados, permitindo o acesso somente a pessoas ou grupos especcos; procure restringir quem pode ter acesso ao seu endereco de e-mail, pois muitos spammers utilizam esses dados para alimentar listas de envio de spam; seja seletivo ao aceitar seus contatos, pois quanto maior for a sua rede, maior ser o n mero a u ` de pessoas com acesso as suas informacoes. Aceite convites de pessoas que voc realmente e conheca e para quem contaria as informacoes que costuma divulgar; n o acredite em tudo que voc l . Nunca repasse mensagens que possam gerar p nico ou afetar a e e a outras pessoas, sem antes vericar a veracidade da informacao; seja cuidadoso ao se associar a comunidades e grupos, pois por meio deles muitas vezes e possvel deduzir informacoes pessoais, como h bitos, rotina e classe social. a Seja cuidadoso ao fornecer a sua localizacao: observe o fundo de imagens (como fotos e vdeos), pois podem indicar a sua localizacao; n o divulgue planos de viagens e nem por quanto tempo car ausente da sua resid ncia; a a e ao usar redes sociais baseadas em geolocalizacao, procure se registrar (fazer check-in) em locais movimentados e nunca em locais considerados perigosos; ao usar redes sociais baseadas em geolocalizacao, procure fazer check-in quando sair do local, ao inv s de quando chegar. e Respeite a privacidade alheia: n o divulgue, sem autorizacao, imagens em que outras pessoas aparecam; a n o divulgue mensagens ou imagens copiadas do perl de pessoas que restrinjam o acesso; a seja cuidadoso ao falar sobre as acoes, h bitos e rotina de outras pessoas; a tente imaginar como a outra pessoa se sentiria ao saber que aquilo est se tornando p blico. a u
90
Previna-se contra c digos maliciosos e phishing: o mantenha o seu computador seguro, com os programas atualizados e com todas as atualizacoes aplicadas (mais detalhes no Captulo Seguranca de computadores); utilize e mantenha atualizados mecanismos de protecao, como antimalware e rewall pessoal (mais detalhes no Captulo Mecanismos de seguranca); descone de mensagens recebidas mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de pers falsos ou invadidos; seja cuidadoso ao acessar links reduzidos. H sites e complementos para o seu navegador que a permitem que voc expanda o link antes de clicar sobre ele (mais detalhes na Secao 7.10 do e Captulo Mecanismos de seguranca). Proteja o seu perl: seja cuidadoso ao usar e ao elaborar as suas senhas (mais detalhes no Captulo Contas e senhas); habilite, quando disponvel, as noticacoes de login, pois assim ca mais f cil perceber se a outras pessoas estiverem utilizando indevidamente o seu perl; use sempre a opcao de logout para n o esquecer a sess o aberta; a a denuncie casos de abusos, como imagens indevidas e pers falsos ou invadidos. Proteja sua vida prossional: cuide da sua imagem prossional. Antes de divulgar uma informacao, procure avaliar se, de alguma forma, ela pode atrapalhar um processo seletivo que voc venha a participar (muitas e ` empresas consultam as redes sociais a procura de informacoes sobre os candidatos, antes de contrat -los); a verique se sua empresa possui um c digo de conduta e procure estar ciente dele. Observe o principalmente as regras relacionadas ao uso de recursos e divulgacao de informacoes; evite divulgar detalhes sobre o seu trabalho, pois isto pode beneciar empresas concorrentes e colocar em risco o seu emprego; preserve a imagem da sua empresa. Antes de divulgar uma informacao, procure avaliar se, de alguma forma, ela pode prejudicar a imagem e os neg cios da empresa e, indiretamente, voc o e mesmo; proteja seu emprego. Sua rede de contatos pode conter pessoas do crculo prossional que podem n o gostar de saber que, por exemplo, a causa do seu cansaco ou da sua aus ncia e a e aquela festa que voc foi e sobre a qual publicou diversas fotos; e use redes sociais ou crculos distintos para ns especcos. Voc pode usar, por exemplo, u e ma rede social para amigos e outra para assuntos prossionais ou separar seus contatos em diferentes grupos, de forma a tentar restringir as informacoes de acordo com os diferentes tipos de pessoas com os quais voc se relaciona; e
11. Privacidade
91
Proteja seus lhos: procure deixar seus lhos conscientes dos riscos envolvidos no uso das redes sociais; ` procure respeitar os limites de idade estipulados pelos sites (eles n o foram denidos a toa); a oriente seus lhos para n o se relacionarem com estranhos e para nunca fornecerem informaa coes pessoais, sobre eles pr prios ou sobre outros membros da famlia; o oriente seus lhos a n o divulgarem informacoes sobre h bitos familiares e nem de localizacao a a (atual ou futura); oriente seus lhos para jamais marcarem encontros com pessoas estranhas; oriente seus lhos sobre os riscos de uso da webcam e que eles nunca devem utiliz -la para se a comunicar com estranhos; procure deixar o computador usado pelos seus lhos em um local p blico da casa (dessa forma, u mesmo a dist ncia, e possvel observar o que eles est o fazendo e vericar o comportamento a a deles).
12. Seguranca de computadores
Muito provavelmente e em seu computador pessoal que a maioria dos seus dados est gravada e, a por meio dele, que voc acessa e-mails e redes sociais e realiza transacoes banc rias e comerciais. e a Por isto, mant -lo seguro e essencial para se proteger dos riscos envolvidos no uso da Internet. e Al m disto, ao manter seu computador seguro, voc diminui as chances dele ser indevidamente e e utilizado para atividades maliciosas, como disseminacao de spam, propagacao de c digos maliciosos o e participacao em ataques realizados via Internet. ` Muitas vezes, os atacantes est o interessados em conseguir o acesso a grande quantidade de coma putadores, independente de quais s o e das conguracoes que possuem. Por isto, acreditar que seu a computador est protegido por n o apresentar atrativos para um atacante pode ser um grande erro. a a Para manter seu computador pessoal seguro, e importante que voc : e Mantenha os programas instalados com as vers es mais recentes: o Fabricantes costumam lancar novas vers es quando h recursos a serem adicionados e vulnera o a bilidades a serem corrigidas. Sempre que uma nova vers o for lancada, ela deve ser prontamente a instalada, pois isto pode ajudar a proteger seu computador da acao de atacantes e c digos maliciosos. o
93
94
Al m disto, alguns fabricantes deixam de dar suporte e de desenvolver atualizacoes para vers es e o antigas, o que signica que vulnerabilidades que possam vir a ser descobertas n o ser o corrigidas. a a remova programas que voc n o utiliza mais. Programas n o usados tendem a ser esquecidos e e a a a car com vers es antigas (e potencialmente vulner veis); o a remova as vers es antigas. Existem programas que permitem que duas ou mais vers es estejam o o instaladas ao mesmo tempo. Nestes casos, voc deve manter apenas a vers o mais recente e e a remover as mais antigas; tenha o h bito de vericar a exist ncia de novas vers es, por meio de opcoes disponibilizadas a e o pelos pr prios programas ou acessando diretamente os sites dos fabricantes. o Mantenha os programas instalados com todas as atualizacoes aplicadas: Quando vulnerabilidades s o descobertas, certos fabria cantes costumam lancar atualizacoes especcas, chamadas de patches, hot xes ou service packs. Portanto, para manter os programas instalados livres de vulnerabilidades, al m e de manter as vers es mais recentes, e importante que sejam o aplicadas todas as atualizacoes disponveis. congure, quando possvel, para que os programas sejam atualizados automaticamente; programe as atualizacoes autom ticas para serem baixadas e aplicadas em hor rios em que a a ` seu computador esteja ligado e conectado a Internet. Alguns programas, por padr o, s o cona a gurados para que as atualizacoes sejam feitas de madrugada, perodo no qual grande parte dos computadores est desligada (as atualizacoes que n o foram feitas no hor rio programado a a a podem n o ser feitas quando ele for novamente ligado); a no caso de programas que n o possuam o recurso de atualizacao autom tica, ou caso voc opte a a e por n o utilizar este recurso, e importante visitar constantemente os sites dos fabricantes para a vericar a exist ncia de novas atualizacoes; e utilize programas para vericacao de vulnerabilidades, como o PSI (mais detalhes na Secao 7.10 do Captulo Mecanismos de seguranca), para vericar se os programas instalados em seu com putador est o atualizados. a Use apenas programas originais: O uso de programas n o originais pode colocar em risco a seguranca do seu computador j que a a muitos fabricantes n o permitem a realizacao de atualizacoes quando detectam vers es n o licenciaa o a das. Al m disto, a instalacao de programas deste tipo, obtidos de mdias e sites n o con veis ou via e a a programas de compartilhamento de arquivos, pode incluir a instalacao de c digos maliciosos. o ao adquirir computadores com programas pr -instalados, procure certicar-se de que eles s o e a originais solicitando ao revendedor as licencas de uso; ao enviar seu computador para manutencao, n o permita a instalacao de programas que n o a a sejam originais;
95
caso deseje usar um programa propriet rio, mas n o tenha recursos para adquirir a licenca, proa a cure por alternativas gratuitas ou mais baratas e que apresentem funcionalidades semelhantes as desejadas. Use mecanismos de protecao: O uso de mecanismos de protecao, como programas antimalware e rewall pessoal, pode contribuir para que seu computador n o seja a infectado/invadido e para que n o participe de atividades maliciosas. a utilize mecanismos de seguranca, como os descritos no Captulo Mecanismos de seguranca; mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas; assegure-se de ter um rewall pessoal instalado e ativo em seu computador; crie um disco de emerg ncia e o utilize quando desconar que o antimalware instalado est e a desabilitado/comprometido ou que o comportamento do computador est estranho (mais lento, a gravando ou lendo o disco rgido com muita frequ ncia, etc.); e verique periodicamente os logs gerados pelo seu rewall pessoal, sistema operacional e antimalware (observe se h registros que possam indicar algum problema de seguranca). a Use as conguracoes de seguranca j disponveis: a Muitos programas disponibilizam opcoes de seguranca, mas que, por padr o, v m desabilitadas ou a e em nveis considerados baixos. A correta conguracao destas opcoes pode contribuir para melhorar a seguranca geral do seu computador. observe as conguracoes de seguranca e privacidade oferecidas pelos programas instalados em seu computador (como programas leitores de e-mails e navegadores Web) e altere-as caso n o a estejam de acordo com as suas necessidades. Seja cuidadoso ao manipular arquivos: Alguns mecanismos, como os programas antimalware, s o importantes para proteger seu compua tador contra ameacas j conhecidas, mas podem n o servir para aquelas ainda n o detectadas. No a a a vos c digos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de o a atualizacao dos mecanismos de seguranca e, por isto, adotar uma postura preventiva e t o importante quanto as outras medidas de seguranca aplicadas. seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os enviou; seja cuidadoso ao clicar em links curtos, procure usar complementos que possibilitem que o link de destino seja visualizado; n o considere que mensagens vindas de conhecidos s o sempre con veis, pois o campo de rea a a metente pode ter sido falsicado ou elas podem ter sido enviadas de contas falsas ou invadidas; desabilite, em seu seu programa leitor de e-mails, a auto-execucao de arquivos anexados;
96
desabilite a auto-execucao de mdias removveis (se estiverem infectadas, elas podem compro meter o seu computador ao serem executadas); n o abra ou execute arquivos sem antes veric -los com seu antimalware; a a congure seu antimalware para vericar todos os formatos de arquivo pois, apesar de inicialmente algumas extens es terem sido mais usadas para a disseminacao de c digos maliciosos, o o atualmente isso j n o e mais v lido; a a a tenha cuidado com extens es ocultas. Alguns sistemas possuem como conguracao padr o o a ocultar a extens o de tipos de arquivos conhecidos. Exemplo: se um atacante renomear o a arquivo exemplo.scr para exemplo.txt.scr, ao ser visualizado o nome do arquivo ser a mostrado como exemplo.txt, j que a extens o .scr n o ser mostrada. a a a a Alguns cuidados especiais para manipular arquivos contendo macros s o: a ` verique o nvel de seguranca associado a execucao de macros e certique-se de associar um nvel que, no mnimo, pergunte antes de execut -las (normalmente associado ao nvel m dio); a e permita a execucao de macros apenas quando realmente necess rio (caso n o tenha certeza, e a a melhor n o permitir a execucao); a utilize visualizadores. Arquivos gerados, por exemplo, pelo Word, PowerPoint e Excel podem ser visualizados e impressos, sem que as macros sejam executadas, usando visualizadores gratuitos disponibilizados no site do fabricante. Proteja seus dados: O seu computador pessoal e, provavelmente, onde a maioria dos seus dados ca gravada. Por este motivo, e importante que voc tome medidas preventivas para evitar perd -los. e e faca regularmente backup dos seus dados. Para evitar que eles sejam perdidos em caso de furto ou mal-funcionamento do computador (por exemplo, invas o, infeccao por c digos maliciosos a o ou problemas de hardware; siga as dicas relacionadas a backups apresentadas na Secao 7.5 do Captulo Mecanismos de seguranca. Mantenha seu computador com a data e a hora corretas: A data e a hora do seu computador s o usadas na geracao de logs, na correlacao de incidentes de a seguranca, na vericacao de certicados digitais (para conferir se est o v lidos). Portanto, e muito a a importante que tome medidas para garantir que estejam sempre corretas. observe as dicas sobre como manter a hora do seu computador sincronizado apresentadas em http://ntp.br/.
97
Crie um disco de recuperacao de sistema: Discos de recuperacao s o uteis em caso de emerg ncia, como atualizacoes mal-sucedidas ou des a e ligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do sistema (causado geralmente por queda de energia). Al m disso, tamb m podem socorrer caso seu computador e e seja infectado e o c digo malicioso tenha apagado arquivos essenciais. Podem ser criados por meio o de opcoes do sistema operacional ou de programas antimalware que oferecam esta funcionalidade. crie um disco de recuperacao do seu sistema e certique-se de t -lo sempre por perto, no caso e de emerg ncias. e Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros: ao instalar plug-ins, complementos e extens es, procure ser bastante criterioso e siga as dicas o de prevencao apresentadas na Secao 6.4 do Captulo Outros riscos. Seja cuidadoso ao enviar seu computador para servicos de manutencao: procure selecionar uma empresa com boas refer ncias; e ` pesquise na Internet sobre a empresa, a procura de opini o de clientes sobre ela; a n o permita a instalacao de programas n o originais; a a se possvel, faca backups dos seus dados antes de enviar seu computador, para n o correr o risco a de perd -los acidentalmente ou como parte do processo de manutencao do seu computador; e se possvel, peca que a manutencao seja feita em sua resid ncia, assim ca mais f cil de acom e a panhar a realizacao do servico. Seja cuidadoso ao utilizar o computador em locais publicos: Quando usar seu computador em p blico, e importante tomar cuidados para evitar que ele seja u furtado ou indevidamente utilizado por outras pessoas. procure manter a seguranca fsica do seu computador, utilizando travas que dicultem que ele seja aberto, que tenha pecas retiradas ou que seja furtado, como cadeados e cabos de aco; procure manter seu computador bloqueado, para evitar que seja usado quando voc n o estiver e a por perto (isso pode ser feito utilizando protetores de tela com senha ou com programas que impedem o uso do computador caso um dispositivo especco n o esteja conectado); a congure seu computador para solicitar senha na tela inicial (isso impede que algu m reinicie e seu computador e o acesse diretamente); utilize criptograa de disco para que, em caso de perda ou furto, seus dados n o sejam indevia damente acessados.
98
12.1
Administracao de contas de usu rios a
A maioria dos sistemas operacionais possui 3 tipos de conta de usu rio: a Administrador (administrator, admin ou root): fornece controle completo sobre o computador, devendo ser usada para atividades como criar/alterar/excluir outras contas, instalar programas de uso geral e alterar de conguracao que afetem os demais usu rios ou o sistema operacional. a Padr o (standard, limitada ou limited): considerada de uso normal e que cont m os privil gios a e e que a grande maioria dos usu rios necessita para realizar tarefas rotineiras, como alterar cona guracoes pessoais, navegar, ler e-mails, redigir documentos, etc. Convidado (guest): destinada aos usu rios eventuais, n o possui senha e n o pode ser acessada rea a a motamente. Permite que o usu rio realize tarefas como navegar na Internet e executar prograa mas j instalados. Quando o usu rio que utilizou esta conta deixa de usar o sistema, todas as a a informacoes e arquivos que foram criados referentes a ela s o apagados. a Quando um programa e executado, ele herda as permiss es da conta do usu rio que o execuo a tou e pode realizar operacoes e acessar arquivos de acordo com estas permiss es. Se o usu rio em o a quest o estiver utilizando a conta de administrador, ent o o programa poder executar qualquer tipo a a a de operacao e acessar todo tipo de arquivo. A conta de administrador, portanto, deve ser usada apenas em situacoes nas quais uma conta 1 . E, sobretudo, pelo menor tempo padr o n o tenha privil gios sucientes para realizar uma operacao a a e possvel. Muitas pessoas, entretanto, por quest es de comodidade ou falta de conhecimento, utilizam o esta conta para realizar todo tipo de atividade. Utilizar nas atividades cotidianas uma conta com privil gios de administrador e um h bito que e a deve ser evitado, pois voc pode, por exemplo, apagar acidentalmente arquivos essenciais para o e funcionamento do sistema operacional ou instalar inadvertidamente um c digo malicioso, que ter o a acesso irrestrito ao seu computador. ` Alguns cuidados especcos referentes a administracao de contas em computadores pessoais s o: a nunca compartilhe a senha de administrador; crie uma conta padr o e a utilize para a realizacao de suas tarefas rotineiras; a utilize a conta de administrador apenas o mnimo necess rio; a use a opcao de executar como administrador quando necessitar de privil gios administrativos; e crie tantas contas padr o quantas forem as pessoas que utilizem o seu computador; a assegure que todas as contas existentes em seu computador tenham senha; mantenha a conta de convidado sempre desabilitada (caso voc queira utiliz -la, libere-a pelo e a tempo necess rio, mas tenha certeza de novamente bloque -la quando n o estiver mais em uso); a a a
recomendacao baseia-se em um princpio de seguranca conhecido como privil gio mnimo e visa evitar danos e por uso equivocado ou n o autorizado. a
1 Esta
99
assegure que o seu computador esteja congurado para solicitar a conta de usu rio e a senha na a tela inicial; assegure que a opcao de login (inicio de sess o) autom tico esteja desabilitada; a a n o crie e n o permita o uso de contas compartilhadas, cada conta deve ser acessada apenas por a a uma pessoa (assim e possvel rastrear as acoes realizadas por cada um e detectar uso indevido); crie tantas contas com privil gio de administrador quantas forem as pessoas que usem o seu e computador e que necessitem destes privil gios. e
12.2
O que fazer se seu computador for comprometido
H alguns indcios que, isoladamente ou em conjunto, podem indicar que seu computador foi a comprometido. Alguns deles s o: a o computador desliga sozinho e sem motivo aparente; o computador ca mais lento, tanto para ligar e desligar como para executar programas; ` o acesso a Internet ca mais lento; o acesso ao disco se torna muito frequente; janelas de pop-up aparecem de forma inesperada; mensagens de logs s o geradas em excesso ou deixam de ser geradas; a arquivos de logs s o apagados, sem nenhum motivo aparente; a atualizacoes do sistema operacional ou do antimalware n o podem ser aplicadas. a Caso perceba estes indcios em seu computador e conclua que ele possa estar infectado ou inva dido, e importante que voc tome medidas para tentar reverter os problemas. Para isto, os seguintes e passos devem ser executados por voc : e a. Certique-se de que seu computador esteja atualizado (com a vers o mais recente e com todas a as atualizacoes aplicadas). Caso n o esteja, atualize-o imediatamente; a b. certique-se de que seu antimalware esteja sendo executado e atualizado, incluindo o arquivo de assinaturas; c. execute o antimalware, congurando-o para vericar todos os discos e analisar todas as extens es de arquivos; o d. limpe os arquivos que o antimalware detectar como infectado caso haja algum; e. caso deseje, utilize outro antimalware como, por exemplo, uma vers o online (neste caso, a certique-se de temporariamente interromper a execucao do antimalware local).
100
Executar estes passos, na maioria das vezes, consegue resolver grande parte dos problemas rela cionados a c digos maliciosos. E necess rio, por m, que voc verique se seu computador n o foi o a e e a invadido e, para isto, voc deve seguir os seguintes passos: e a. Certique-se de que seu rewall pessoal esteja ativo; b. verique os logs do seu rewall pessoal. Caso encontre algo fora do padr o e que o faca concluir a que seu computador tenha sido invadido, o melhor a ser feito e reinstal -lo, pois dicilmente e a possvel determinar com certeza as acoes do invasor; c. antes de reinstal -lo, faca backups de logs e notique ao CERT.br sobre a ocorr ncia (mais a e detalhes na Secao 7.2 do Captulo Mecanismos de seguranca); d. reinstale o sistema operacional e aplique todas as atualizacoes, principalmente as de seguranca; e. instale e atualize o seu programa antimalware; f. instale ou ative o seu rewall pessoal; g. recupere seus dados pessoais, por meio de um backup con vel. a Independente de seu computador ter sido infectado ou invadido, e importante alterar rapidamente todas as senhas dos servicos que voc costuma acessar por meio dele. e
12.3
Cuidados ao usar computadores de terceiros
Ao usar outros computadores, seja de seus amigos, na sua escola, em lanhouse e cyber caf , e e necess rio que os cuidados com seguranca sejam redobrados. Ao passo que no seu computador e a possvel tomar medidas preventivas para evitar os riscos de uso da Internet, ao usar um outro compu tador n o h como saber, com certeza, se estes mesmos cuidados est o sendo devidamente tomados e a a a quais as atitudes dos demais usu rios. Alguns cuidados que voc deve ter s o: a e a utilize opcoes de navegar anonimamente, caso queria garantir sua privacidade (voc pode usar e opcoes do pr prio navegador Web ou anonymizers); o utilize um antimalware online para vericar se o computador est infectado; a n o efetue transacoes banc rias ou comerciais; a a n o utilize opcoes como Lembre-se de mim e Continuar conectado; a n o permita que suas senhas sejam memorizadas pelo navegador Web; a limpe os dados pessoais salvos pelo navegador, como hist rico de navegacao e cookies (os o navegadores disponibilizam opcoes que permitem que isto seja facilmente realizado); assegure-se de sair (logout) de sua conta de usu rio, nos sites que voc tenha acessado; a e seja cuidadoso ao conectar mdias removveis, como pen-drives. Caso voc use seu pen-drive e no computador de outra pessoa, assegure-se de veric -lo com seu antimalware quando for a utiliz -lo em seu computador; a ao retornar ao seu computador, procure alterar as senhas que, por ventura, voc tenha utilizado. e
13. Seguranca de redes
` Inicialmente, grande parte dos acessos a Internet eram realizados por meio de conex o discada a com velocidades que dicilmente ultrapassavam 56 Kbps. O usu rio, de posse de um modem e de a uma linha telef nica, se conectava ao provedor de acesso e mantinha esta conex o apenas pelo tempo o a necess rio para realizar as acoes que dependessem da rede. a Desde ent o, grandes avancos ocorreram e novas alternativas surgiram, sendo que atualmente a ` grande parte dos computadores pessoais cam conectados a rede pelo tempo em que estiverem ligados 1 . Conex o a Internet tamb m deixou de ser um e a velocidades que podem chegar a at 100 Mbps e a ` e ` recurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso a rede, como dispositivos m veis, TVs, eletrodom sticos e sistemas de audio. o e ` Independente do tipo de tecnologia usada, ao conectar o seu computador a rede ele pode estar sujeito a ameacas, como:
Furto de dados: informacoes pessoais e outros dados podem ser obtidos tanto pela interceptacao de tr fego como pela exploracao de possveis vulnerabilidades existentes em seu computador. a
1 Estes
dados baseiam-se nas tecnologias disponveis no momento de escrita desta Cartilha.
101
102
` Uso indevido de recursos: um atacante pode ganhar acesso a um computador conectado a rede e utiliz -lo para a pr tica de atividades maliciosas, como obter arquivos, disseminar spam, propagar a a c digos maliciosos, desferir ataques e esconder a real identidade do atacante. o Varredura: um atacante pode fazer varreduras na rede, a m de descobrir outros computadores e, ent o, tentar executar acoes maliciosas, como ganhar acesso e explorar vulnerabilidades (mais a detalhes na Secao 3.2 do Captulo Ataques na Internet). ` Interceptacao de tr fego: um atacante, que venha a ter acesso a rede, pode tentar interceptar o a tr fego e, ent o, coletar dados que estejam sendo transmitidos sem o uso de criptograa (mais a a detalhes na Secao 3.4 do Captulo Ataques na Internet). Exploracao de vulnerabilidades: por meio da exploracao de vulnerabilidades, um computador pode ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevidamente coletados e ser usado para a propagacao de c digos maliciosos. Al m disto, equipamen o e tos de rede (como modems e roteadores) vulner veis tamb m podem ser invadidos, terem as a e conguracoes alteradas e fazerem com que as conex es dos usu rios sejam redirecionadas para o a sites fraudulentos. Ataque de negacao de servico: um atacante pode usar a rede para enviar grande volume de mensa gens para um computador, at torn -lo inoperante ou incapaz de se comunicar. e a ` Ataque de forca bruta: computadores conectados a rede e que usem senhas como m todo de auten e ticacao, est o expostos a ataques de forca bruta. Muitos computadores, infelizmente, utilizam, a por padr o, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes. a Ataque de personicacao: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao inv s do dispositivo legtimo, permitindo a captura de e senhas de acesso e informacoes que por ele passem a trafegar. Nas pr ximas secoes s o apresentados os cuidados gerais e independentes de tecnologia que voc o a e ` ter ao usar redes, os tipos mais comuns de acesso a Internet, os riscos adicionais que eles podem representar e algumas dicas de prevencao.
13.1
Cuidados gerais
Alguns cuidados que voc deve tomar ao usar redes, independentemente da tecnologia, s o: e a mantenha seu computador atualizado, com as vers es mais recentes e com todas as atualizacoes o aplicadas (mais detalhes no Captulo Seguranca de computadores); utilize e mantenha atualizados mecanismos de seguranca, como programa antimalware e re wall pessoal (mais detalhes no Captulo Mecanismos de seguranca); seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Captulo Contas e senhas); utilize conex o segura sempre que a comunicacao envolver dados condenciais (mais detalhes a na Secao 10.1 do Captulo Uso seguro da Internet); caso seu dispositivo permita o compartilhamento de recursos, desative esta funcao e somente a ative quando necess rio e usando senhas difceis de serem descobertas. a
103
13.2
Wi-Fi
Wi-Fi (Wireless Fidelity) e um tipo de rede local que utiliza sinais de r dio para comunicacao. a Possui dois modos b sicos de operacao: a Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point AP) ou um roteador wireless. Ponto a ponto (ad-hoc): permite que um pequeno grupo de m quinas se comunique diretamente, a sem a necessidade de um AP. Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalacao e de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, h alguns riscos que a voc deve considerar ao us -las, como: e a por se comunicarem por meio de sinais de r dio, n o h a necessidade de acesso fsico a um a a a ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes legtimos podem ser interceptados por qualquer pessoa pr xima com um mnimo o de equipamento (por exemplo, um notebook ou tablet); por terem instalacao bastante simples, muitas pessoas as instalam em casa (ou mesmo em em presas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com conguracoes mnimas de seguranca, e podem vir a ser abusadas por atacantes, por meio de uso n o a autorizado ou de sequestro2 ; em uma rede Wi-Fi p blica (como as disponibilizadas em aeroportos, hot is e confer ncias) os u e e dados que n o estiverem criptografados podem ser indevidamente coletados por atacantes; a uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair usu rios, a m de interceptar o tr fego (e coletar dados pessoais) ou desviar a navegacao para a a sites falsos. Para resolver alguns destes riscos foram desenvolvidos mecanismos de seguranca, como: WEP (Wired Equivalent Privacy): primeiro mecanismo de seguranca a ser lancado. E considerado fr gil e, por isto, o uso deve ser evitado. a WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do WEP. E o nvel mnimo de seguranca que e recomendado. WPA-2: similar ao WPA, mas com criptograa considerada mais forte. E o mecanismo mais recomendado. Cuidados a serem tomados: habilite a interface de rede Wi-Fi do seu computador ou dispositivo m vel somente quando o us -la e desabilite-a ap s o uso; a o
` sequestro de rede Wi-Fi entende-se uma situacao em que um terceiro ganha acesso a rede e altera conguracoes no AP para que somente ele consiga acess -la. a
2 Por
104
desabilite o modo ad-hoc (use-o apenas quando necess rio e desligue-o quando n o precisar). a a Alguns equipamentos permitem inibir conex o com redes ad-hoc, utilize essa funcao caso o a dispositivo permita; use, quando possvel, redes que oferecem autenticacao e criptograa entre o cliente e o AP (evite conectar-se a redes abertas ou p blicas, sem criptograa, especialmente as que voc n o u e a conhece a origem); considere o uso de criptograa nas aplicacoes, como por exemplo, PGP para o envio de e-mails, SSH para conex es remotas ou ainda VPNs; o evite o acesso a servicos que n o utilizem conex o segura (https); a a evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; use WPA2 sempre que disponvel (caso seu dispositivo n o tenha este recurso, utilize no mni a mo WPA). Cuidados ao montar uma rede sem o dom stica: e posicione o AP longe de janelas e pr ximo ao centro de sua casa a m de reduzir a propagacao o do sinal e controlar a abrang ncia (conforme a pot ncia da antena do AP e do posicionamento e e no recinto, sua rede pode abranger uma area muito maior que apenas a da sua resid ncia e, com e isto, ser acessada sem o seu conhecimento ou ter o tr fego capturado por vizinhos ou pessoas a que estejam nas proximidades); altere as conguracoes padr o que acompanham o seu AP. Alguns exemplos s o: a a altere as senhas originais, tanto de administracao do AP como de autenticacao de usu rios; a assegure-se de utilizar senhas bem elaboradas e difceis de serem descobertas (mais deta lhes no Captulo Contas e senhas); altere o SSID (Server Set IDentier); ao congurar o SSID procure n o usar dados pessoais e nem nomes associados ao fabria cante ou modelo, pois isto facilita a identicacao de caractersticas t cnicas do equipa e mento e pode permitir que essas informacoes sejam associadas a possveis vulnerabilida des existentes; desabilite a difus o (broadcast) do SSID, evitando que o nome da rede seja anunciado a para outros dispositivos; desabilite o gerenciamento do AP via rede sem o, de tal forma que, para acessar funcoes de administracao, seja necess rio conectar-se diretamente a ele usando uma rede cabeada. a Desta maneira, um possvel atacante externo (via rede sem o) n o ser capaz de acessar a a o AP para promover mudancas na conguracao. n o ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o a mecanismo seja facilmente quebrado; utilize WPA2 ou, no mnimo, WPA;
105
caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a m de evitar acessos indevidos; desligue seu AP quando n o usar sua rede. a
13.3 Bluetooth
Bluetooth e um padr o para tecnologia de comunicacao de dados e voz, baseado em radiofrea ` qu ncia e destinado a conex o de dispositivos em curtas dist ncias, permitindo a formacao de redes e a a pessoais sem o. Est disponvel em uma extensa variedade de equipamentos, como dispositivos a m veis, videogames, mouses, teclados, impressoras, sistemas de audio, aparelhos de GPS e monitores o de frequ ncia cardaca. A quantidade de aplicacoes tamb m e vasta, incluindo sincronismo de dados e e entre dispositivos, comunicacao entre computadores e perif ricos e transfer ncia de arquivos. e e Embora traga muitos benefcios, o uso desta tecnologia traz tamb m riscos, visto que est sujeita e a ` a as v rias ameacas que acompanham as redes em geral, como varredura, furto de dados, uso indevido de recursos, ataque de negacao de servico, interceptacao de tr fego e ataque de forca bruta. a Um agravante, que facilita a acao dos atacantes, e que muitos dispositivos v m, por padr o, com o e a bluetooth ativo. Desta forma, muitos usu rios n o percebem que possuem este tipo de conex o ativa a a a e n o se preocupam em adotar uma postura preventiva. a Cuidados a serem tomados: mantenha as interfaces bluetooth inativas e somente as habilite quando zer o uso; congure as interfaces bluetooth para que a opcao de visibilidade seja Oculto ou Invisvel, evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo s deve car o rastre vel quando for necess rio autenticar-se a um novo dispositivo (pareamento); a a altere o nome padr o do dispositivo e evite usar na composicao do novo nome dados que idena tiquem o propriet rio ou caractersticas t cnicas do dispositivo; a e sempre que possvel, altere a senha (PIN) padr o do dispositivo e seja cuidadoso ao elaborar a a nova (mais detalhes no Captulo Contas e senhas); evite realizar o pareamento em locais p blicos, reduzindo as chances de ser rastreado ou interu ceptado por um atacante; que atento ao receber mensagens em seu dispositivo solicitando autorizacao ou PIN (n o res a ` ponda a solicitacao se n o tiver certeza que est se comunicando com o dispositivo correto); a a no caso de perda ou furto de um dispositivo bluetooth, remova todas as relacoes de conanca j estabelecidas com os demais dispositivos que possui, evitando que algu m, de posse do a e dispositivo roubado/perdido, possa conectar-se aos demais.
106
13.4
Banda larga xa
Banda larga xa e um tipo de conex o a rede com capacidade acima daquela conseguida, usuala ` mente, em conex o discada via sistema telef nico. N o h uma denicao de m trica de banda larga a o a a e que seja aceita por todos, mas e comum que conex es deste tipo sejam permanentes e n o comutadas, o a como as discadas. Usualmente, compreende conex es com mais de 100 Kbps, por m esse limite e o e muito vari vel de pas para pas e de servico para servico3 . a Computadores conectados via banda larga xa, geralmente, possuem boa velocidade de conex o, a ` mudam o endereco IP com pouca frequ ncia e cam conectados a Internet por longos perodos. Por e estas caractersticas, s o visados por atacantes para diversos prop sitos, como reposit rio de dados a o o fraudulentos, para envio de spam e na realizacao de ataques de negacao de servico. O seu equipamento de banda larga (modem ADSL, por exemplo) tamb m pode ser invadido, pela e exploracao de vulnerabilidades ou pelo uso de senhas fracas e/ou padr o (facilmente encontradas na a Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar conguracoes, bloquear o seu acesso ou desviar suas conex es para sites fraudulentos. o Cuidados a serem tomados: altere, se possvel, a senha padr o do equipamento de rede (verique no contrato se isto e a permitido e, caso seja, guarde a senha original e lembre-se de restaur -la quando necess rio); a a desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para acessar funcoes de administracao (interfaces de conguracao), seja necess rio conectar-se dire a tamente a ele usando a rede local (desta maneira, um possvel atacante externo n o ser capaz a a de acess -lo para promover mudancas na conguracao). a
13.5
Banda Larga M vel o
` A banda larga m vel refere-se as tecnologias de acesso sem o, de longa dist ncia, por meio da o a rede de telefonia m vel, especialmente 3G e 4G4 . o Este tipo de tecnologia est disponvel em grande quantidade de dispositivos m veis (como celua o lares, smartphones e tablets) e e uma das respons veis pela popularizacao destes dispositivos e das a redes sociais. Al m disto, tamb m pode ser adicionada a computadores e dispositivos m veis que e e o ainda n o tenham esta capacidade, por meio do uso de modems especcos. a Assim como no caso da banda larga xa, dispositivos com suporte a este tipo de tecnologia podem ` car conectados a Internet por longos perodos e permitem que o usu rio esteja online, independente a de localizacao. Por isto, s o bastante visados por atacantes para a pr tica de atividades maliciosas. a a Cuidados a serem tomados: aplique os cuidados b sicos de seguranca, apresentados na Secao 13.1. a
http://www.cetic.br/. ` e 4G correspondem, respectivamente, a terceira e quarta geracoes de padr es de telefonia m vel denidos pela o o International Telecommunication Union - ITU.
4 3G 3 Fonte:
14. Seguranca em dispositivos m veis o
Dispositivos m veis, como tablets, smartphones, celulares e PDAs, t m se tornado cada vez mais o e populares e capazes de executar grande parte das acoes realizadas em computadores pessoais, como navegacao Web, Internet Banking e acesso a e-mails e redes sociais. Infelizmente, as semelhancas ` n o se restringem apenas as funcionalidades apresentadas, elas tamb m incluem os riscos de uso que a e podem representar. Assim como seu computador, o seu dispositivo m vel tamb m pode ser usado para a pr tica de o e a atividades maliciosas, como furto de dados, envio de spam e a propagacao de c digos maliciosos, o al m de poder fazer parte de botnets e ser usado para disparar ataques na Internet. e Somadas a estes riscos, h caractersticas pr prias que os dispositivos m veis possuem que, a o o quando abusadas, os tornam ainda mais atraentes para atacantes e pessoas mal-intencionadas, como:
Grande quantidade de informacoes pessoais armazenadas: informacoes como conte do de men u sagens SMS, lista de contatos, calend rios, hist rico de chamadas, fotos, vdeos, n meros de a o u cart o de cr dito e senhas costumam car armazenadas nos dispositivos m veis. a e o
107
108
Maior possibilidade de perda e furto: em virtude do tamanho reduzido, do alto valor que podem possuir, pelo status que podem representar e por estarem em uso constante, os dispositivos m veis podem ser facilmente esquecidos, perdidos ou atrair a atencao de assaltantes. o Grande quantidade de aplicacoes desenvolvidas por terceiros: h uma innidade de aplicacoes a sendo desenvolvidas, para diferentes nalidades, por diversos autores e que podem facilmente ser obtidas e instaladas. Entre elas podem existir aplicacoes com erros de implementacao, n o a con veis ou especicamente desenvolvidas para execucao de atividades maliciosas. a Rapidez de substituicao dos modelos: em virtude da grande quantidade de novos lancamentos, do desejo dos usu rios de ter o modelo mais recente e de pacotes promocionais oferecidos pea las operadoras de telefonia, os dispositivos m veis costumam ser rapidamente substitudos e o descartados, sem que nenhum tipo de cuidado seja tomado com os dados nele gravados. De forma geral, os cuidados que voc deve tomar para proteger seus dispositivos m veis s o os e o a mesmos a serem tomados com seu computador pessoal, como mant -lo sempre atualizado e utilie zar mecanismos de seguranca. Por isto e muito importante que voc siga as dicas apresentadas no e Captulo Seguranca de computadores. Outros cuidados complementares a serem tomados s o: a Antes de adquirir seu dispositivo m vel: o considere os mecanismos de seguranca que s o disponibilizadas pelos diferentes modelos e a fabricantes e escolha aquele que considerar mais seguro; caso opte por adquirir um modelo j usado, procure restaurar as conguracoes originais, ou de a f brica, antes de comecar a us -lo; a a evite adquirir um dispositivo m vel que tenha sido ilegalmente desbloqueado (jailbreak) ou o cujas permiss es de acesso tenham sido alteradas. Esta pr tica, al m de ser ilegal, pode violar o a e os termos de garantia e comprometer a seguranca e o funcionamento do aparelho. Ao usar seu dispositivo m vel: o se disponvel, instale um programa antimalware antes de instalar qualquer tipo de aplicacao, principalmente aquelas desenvolvidas por terceiros; mantenha o sistema operacional e as aplicacoes instaladas sempre com a vers o mais recente e a com todas as atualizacoes aplicadas; ` ` que atento as notcias veiculadas no site do fabricante, principalmente as relacionadas a segu ranca; seja cuidadoso ao instalar aplicacoes desenvolvidas por terceiros, como complementos, ex tens es e plug-ins. Procure usar aplicacoes de fontes con veis e que sejam bem avaliao a das pelos usu rios. Verique coment rios de outros usu rios e se as permiss es necess rias a a a o a para a execucao s o coerentes com a destinacao da aplicacao (mais detalhes na Secao 6.4 do a Captulo Outros riscos); seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocalizacao, pois isto pode comprometer a sua privacidade (mais detalhes na Secao 11.1 do Captulo Pri vacidade).
14. Seguranca em dispositivos moveis
109
Ao acessar redes1 : seja cuidadoso ao usar redes Wi-Fi p blicas; u mantenha interfaces de comunicacao, como bluetooth, infravermelho e Wi-Fi, desabilitadas e somente as habilite quando for necess rio; a congure a conex o bluetooth para que seu dispositivo n o seja identicado (ou descoberto) a a por outros dispositivos (em muitos aparelhos esta opcao aparece como Oculto ou Invisvel). Proteja seu dispositivo m vel e os dados nele armazenados: o mantenha as informacoes sensveis sempre em formato criptografado; faca backups peri dicos dos dados nele gravados; o mantenha controle fsico sobre ele, principalmente em locais de risco (procure n o deix -lo a a sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes p blicos); u use conex o segura sempre que a comunicacao envolver dados condenciais (mais detalhes na a Secao 10.1 do Captulo Uso seguro da Internet); n o siga links recebidos por meio de mensagens eletr nicas; a o cadastre uma senha de acesso que seja bem elaborada e, se possvel, congure-o para aceitar senhas complexas (alfanum ricas); e congure-o para que seja localizado e bloqueado remotamente, por meio de servicos de geolo calizacao (isso pode ser bastante util em casos de perda ou furto); congure-o, quando possvel, para que os dados sejam apagados ap s um determinado n mero o u de tentativas de desbloqueio sem sucesso (use esta opcao com bastante cautela, principalmente se voc tiver lhos e eles gostarem de brincar com o seu dispositivo). e Ao se desfazer do seu dispositivo m vel: o apague todas as informacoes nele contidas; restaure a opcoes de f brica. a O que fazer em caso de perda ou furto: infome sua operadora e solicite o bloqueio do seu n mero (chip); u altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail ou rede social); bloqueie cart es de cr dito cujo n mero esteja armazenado em seu dispositivo m vel; o e u o se tiver congurado a localizacao remota, voc pode ativ -la e, se achar necess rio, apagar e a a remotamente todos os dados nele armazenados.
1 Mais
detalhes sobre estas dicas no Captulo Seguranca de redes.
Gloss rio a
802.11 AC ADSL Conjunto de especicacoes desenvolvidas pelo IEEE para tecnologias de redes sem o. Veja Autoridade certicadora. Do ingl s Asymmetric Digital Subscriber Line. Sistema que permite a utilizacao das e linhas telef nicas para transmiss o de dados em velocidades maiores que as permitio a das por um modem convencional.
Advance Fee Fraud Veja Fraude de antecipacao de recursos. Adware Do ingl s Advertising Software. Tipo especco de spyware. Programa projetado e especicamente para apresentar propagandas. Pode ser usado de forma legtima, quando incorporado a programas e servicos, como forma de patrocnio ou retorno nanceiro para quem desenvolve programas livres ou presta servicos gratuitos. Tam b m pode ser usado para ns maliciosos quando as propagandas apresentadas s o e a direcionadas, de acordo com a navegacao do usu rio e sem que este saiba que tal a monitoramento est sendo feito. a Ferramenta que procura detectar e, ent o, anular ou remover os c digos maliciosos a o de um computador. Os programas antivrus, antispyware, antirootkit e antitrojan s o a exemplos de ferramentas antimalware. Tipo de ferramenta antimalware desenvolvido para detectar, anular e eliminar de um computador vrus e outros tipos de c digos maliciosos. Pode incluir tamb m a funci o e onalidade de rewall pessoal. Do ingl s Access Point. Dispositivo que atua como ponte entre uma rede sem o e e uma rede tradicional. Qualquer informacao deixada por um invasor em um sistema comprometido, como programas, scripts, ferramentas, logs e arquivos.
Antimalware
Antivrus
AP Artefato
Assinatura digital C digo usado para comprovar a autenticidade e a integridade de uma informacao, o ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela n o foi a alterada. Atacante Ataque Pessoa respons vel pela realizacao de um ataque. Veja tamb m Ataque. a e Qualquer tentativa, bem ou mal sucedida, de acesso ou uso n o autorizado de um a servico, computador ou rede.
111
112
AUP
Do ingl s Acceptable Use Policy. Veja Poltica de uso aceit vel. e a
Autoridade certicadora Entidade respons vel por emitir e gerenciar certicados digitais. Estes certicados a podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituicao, instituicao, etc. Backdoor Tipo de c digo malicioso. Programa que permite o retorno de um invasor a um o computador comprometido, por meio da inclus o de servicos criados ou modicados a para esse m. Normalmente esse programa e colocado de forma a n o a ser notado. a
Banda, Bandwidth Veja Largura de banda. Banda larga Tipo de conex o a rede com capacidade acima daquela conseguida, usualmente, em a ` conex o discada via sistema telef nico. N o h uma denicao de m trica de banda a o a a e larga que seja aceita por todos, mas e comum que conex es em banda larga sejam o permanentes e n o comutadas, como as conex es discadas. Usualmente, compreende a o conex es com mais de 100 Kbps, por m esse limite e muito vari vel de pas para pas o e a e de servico para servico (Fonte: http://www.cetic.br/).
Banda larga xa ` Tipo de conex o banda larga que permite que um computador que conectado a Ina ternet por longos perodos e com baixa frequ ncia de alteracao de endereco IP. e Banda larga m vel o Tipo de conex o banda larga. Tecnologia de acesso sem o, de longa dist ncia, a a por meio de rede de telefonia m vel, especialmente 3G e 4G (respectivamente a o terceira e a quarta geracao de padr es de telefonia m vel denidos pelo International o o Telecommunication Union - ITU). Banner de propaganda Espaco disponibilizado por um usu rio em sua p gina Web para que servicos de pu a a blicidade apresentem propagandas de clientes. Blacklist Lista de e-mails, domnios ou enderecos IP, reconhecidamente fontes de spam. Re curso utilizado, tanto em servidores como em programas leitores de e-mails, para bloquear as mensagens suspeitas de serem spam. Padr o para tecnologia de comunicacao de dados e voz, baseado em radiofrequ ncia a e ` e destinado a conex o de dispositivos em curtas dist ncias, permitindo a formacao de a a redes pessoais sem o. Mensagem que possui conte do alarmante ou falso e que, geralmente, tem como u a remetente, ou aponta como autora, alguma instituicao, empresa importante ou org o governamental. Por meio de uma leitura minuciosa de seu conte do, normalmente, e u possvel identicar informacoes sem sentido e tentativas de golpes, como correntes e pir mides. a Tipo de c digo malicioso. Programa que, al m de incluir funcionalidades de worms, o e disp e de mecanismos de comunicacao com o invasor que permitem que ele seja o controlado remotamente. O processo de infeccao e propagacao do bot e similar ao do worm, ou seja, o bot e capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. Veja tamb m e Worm.
Bluetooth
Boato
Bot
Glossario
113
Botnet
Rede formada por centenas ou milhares de computadores infectados com bots. Permite potencializar as acoes danosas executadas pelos bots e ser usada em ataques de negacao de servico, esquemas de fraude, envio de spam, etc. Veja tamb m Bot. e Veja Forca bruta.
Brute force
Cable modem Modem projetado para operar sobre linhas de TV a cabo. Veja tamb m Modem. e Cavalo de troia Tipo de c digo malicioso. Programa normalmente recebido como um presente o (por exemplo, cart o virtual, album de fotos, protetor de tela, jogo, etc.) que, al m a e de executar as funcoes para as quais foi aparentemente projetado, tamb m executa e outras funcoes, normalmente maliciosas e sem o conhecimento do usu rio. a Certicado digital Registro eletr nico composto por um conjunto de dados que distingue uma entidade o e associa a ela uma chave p blica. Pode ser emitido para pessoas, empresas, equipau mentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como condencialidade e assinatura digital. Certicado digital autoassinado Certicado digital no qual o dono e o emissor s o a mesma entidade. a Chave mestra Senha unica usada para proteger (criptografar) outras senhas. C digo malicioso o Termo gen rico usado para se referir a programas desenvolvidos para executar acoes e danosas e atividades maliciosas em um computador ou dispositivo m vel. Tipos o especcos de c digos maliciosos s o: vrus, worm, bot, spyware, backdoor, cavalo o a de troia e rootkit. C digo m vel Tipo de c digo utilizado por desenvolvedores Web para incorporar maior funcionao o o lidade e melhorar a apar ncia de p ginas Web. Alguns tipos de c digos m veis s o: e a o o a programas e applets Java, JavaScripts e componentes (ou controles) ActiveX. Com rcio eletr nico e o Qualquer forma de transacao comercial onde as partes interagem eletronicamente. Conjunto de t cnicas e tecnologias computacionais utilizadas para facilitar e executar e transacoes comerciais de bens e servicos por meio da Internet. Comprometimento Veja Invas o. a Computador zumbi Nome dado a um computador infectado por bot, pois pode ser controlado remotamente, sem o conhecimento do seu dono. Veja tamb m Bot. e Conex o discada a ` Conex o comutada a Internet, realizada por meio de um modem anal gico e uma a o linha da rede de telefonia xa, que requer que o modem disque um n mero telef nico u o para realizar o acesso (Fonte: http://www.cetic.br/). Conex o segura a Conex o que utiliza um protocolo de criptograa para a transmiss o de dados, como a a por exemplo, HTTPS ou SSH.
114
Conta de usu rio a ` Tamb m chamada de nome de usu rio e nome de login. Corresponde a identie a cacao unica de um usu rio em um computador ou servico. a Cookie Pequeno arquivo que e gravado no computador quando o usu rio acessa um site a usado para manter e reenviado a este mesmo site quando novamente acessado. E informacoes sobre o usu rio, como carrinho de compras, lista de produtos e pre a fer ncias de navegacao. e
Correcao de seguranca Correcao desenvolvida para eliminar falhas de seguranca em um programa ou sistema operacional. Criptograa Ci ncia e arte de escrever mensagens em forma cifrada ou em c digo. E parte de e o um campo de estudos que trata das comunicacoes secretas. E usada, dentre outras nalidades, para: autenticar a identidade de usu rios; autenticar transacoes banc rias; a a proteger a integridade de transfer ncias eletr nicas de fundos, e proteger o sigilo de e o comunicacoes pessoais e comerciais. Do ingl s Distributed Denial of Service. Veja Negacao de servico distribudo. e Veja Desguracao de p gina. a Pessoa respons vel pela desguracao de uma p gina. Veja tamb m Desguracao de a a e p gina. a
DDoS Defacement Defacer
Desguracao de p gina a Tamb m chamada de pichacao. T cnica que consiste em alterar o conte do da p gina e e u a Web de um site. Dispositivo m vel o Equipamento com recursos computacionais que, por ter tamanho reduzido, oferece grande mobilidade de uso, podendo ser facilmente carregado pelo seu dono. Exemplos: notebooks, netbooks, tablets, PDAs, smartphones e celulares. DNS Do ingl s Domain Name System. O sistema de nomes de domnios, respons vel e a pela traducao, entre outros tipos, de nome de m quinas/domnios para o endereco IP a correspondente e vice-versa. Do ingl s Denial of Service. Veja Negacao de servico. e Veja Com rcio eletr nico. e o
DoS E-commerce
E-mail spoong Veja Falsicacao de e-mail. Endereco IP ` Sequ ncia de n meros associada a cada computador conectado a Internet. No caso e u de IPv4, o endereco IP e dividido em quatro grupos, separados por . e com postos por n meros entre 0 e 255, por exemplo, 192.0.2.2. No caso de IPv6, u o endereco IP e dividido em at oito grupos, separados por : e compostos por e n meros hexadecimais (n meros e letras de A a F) entre 0 e FFFF, por exemplo, u u 2001:DB8:C001:900D:CA27:116A::1.
Glossario
115
Engenharia social T cnica por meio da qual uma pessoa procura persuadir outra a executar determinae das acoes. No contexto desta Cartilha, e considerada uma pr tica de m -f , usada a a e por golpistas para tentar explorar a gan ncia, a vaidade e a boa-f ou abusar da ingea e nuidade e da conanca de outras pessoas, a m de aplicar golpes, ludibriar ou obter informacoes sigilosas e importantes. O popularmente conhecido conto do vig rio a utiliza engenharia social. EV SSL Exploit Do ingl s Extended Validation Secure Socket Layer. Certicado SSL de Validacao e Avancada ou Estendida. Veja tamb m SSL. e Veja Exploracao de vulnerabilidade.
Exploracao de vulnerabilidade Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um programa de computador. Veja tamb m Vulnerabilidade. e Falsa identidade Veja Furto de identidade. Falsicacao de e-mail T cnica que consiste em alterar campos do cabecalho de um e-mail, de forma a apae rentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Filtro antispam Programa que permite separar os e-mails conforme regras pr -denidas. Utilizado e tanto para o gerenciamento das caixas postais como para a selecao de e-mails v lidos a dentre os diversos spams recebidos. Firewall Dispositivo de seguranca usado para dividir e controlar o acesso entre redes de com putadores.
Firewall pessoal Tipo especco de rewall. Programa usado para proteger um computador contra acessos n o autorizados vindos da Internet. a Forca bruta Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usu rio e a senha e, assim, executar processos e acessar sites, computadores e servicos em nome e com os mesmos privil gios desse usu rio. e a Rede social baseada em geolocalizacao que, assim como outras redes do mesmo tipo, utiliza os dados fornecidos pelo GPS do computador ou dispositivo m vel do usu rio o a para registrar (fazer check-in) nos lugares por onde ele passa.
Foursquare
Fraude de antecipacao de recursos Tipo de fraude na qual um golpista procura induzir uma pessoa a fornecer informacoes condenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefcio. Funcao de resumo M todo criptogr co que, quando aplicado sobre uma informacao, independentee a mente do tamanho que ela tenha, gera um resultado unico e de tamanho xo, chamado hash.
116
Furto de identidade Ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a f p blica, tipicados como falsa e u identidade. GnuPG Conjunto de programas gratuito e de c digo aberto, que implementa criptograa de o chave sim trica, de chaves assim tricas e assinatura digital. e e
Golpe de com rcio eletr nico e o Tipo de fraude na qual um golpista, com o objetivo de obter vantagens nanceiras, explora a relacao de conanca existente entre as partes envolvidas em uma transacao comercial. GPG Greylisting Veja GnuPG. M todo de ltragem de spams, implantado diretamente no servidor de e-mails, que e recusa temporariamente um e-mail e o recebe somente quando ele e reenviado. Servidores legtimos de e-mails, que se comportam de maneira correta e de acordo com as especicacoes dos protocolos, sempre reenviam as mensagens. Este m todo parte e do princpio que spammers raramente utilizam servidores legtimos e, portanto, n o a reenviam suas mensagens. T cnica utilizada por spammers, que consiste em varrer p ginas Web, arquivos de e a listas de discuss o, entre outros, em busca de enderecos de e-mail. a Veja Funcao de resumo. Veja Boato. Veja Correcao de seguranca. Do ingl s HyperText Markup Language. Linguagem universal utilizada na elaborae cao de p ginas na Internet. a Do ingl s HyperText Transfer Protocol. Protocolo usado para transferir p ginas Web e a entre um servidor e um cliente (por exemplo, o navegador). Do ingl s HyperText Transfer Protocol Secure ou HyperText Transfer Protocol over e SSL. Protocolo que combina o uso do HTTP com mecanismos de seguranca, como o SSL e o TLS, a m de prover conex es seguras. Veja tamb m HTTP. o e Veja Furto de identidade. Do ingl s Intrusion Detection System. Programa, ou um conjunto de programas, cuja e funcao e detectar atividades maliciosas ou an malas. o Acr nimo para Institute of Electrical and Electronics Engineers, uma organizacao o composta por engenheiros, cientistas e estudantes, que desenvolvem padr es para a o ind stria de computadores e eletroeletr nicos. u o
Harvesting Hash Hoax Hot x HTML HTTP HTTPS
Identity theft IDS IEEE
Incidente de seguranca ` Qualquer evento adverso, conrmado ou sob suspeita, relacionado a seguranca de sistemas de computacao ou de redes de computadores.
Glossario
117
Interceptacao de tr fego a T cnica que consiste em inspecionar os dados trafegados em redes de computadores, e por meio do uso de programas especcos chamados de sniffers. Invas o a Invasor Ataque bem sucedido que resulte no acesso, manipulacao ou destruicao de informa coes em um computador. Pessoa respons vel pela realizacao de uma invas o (comprometimento). Veja tama a b m Invas o. e a
IP, IPv4, IPv6 Veja Endereco IP. Janela de pop-up Tipo de janela que aparece automaticamente e sem permiss o, sobrepondo a janela a do navegador Web, ap s o usu rio acessar um site. o a Keylogger Tipo especco de spyware. Programa capaz de capturar e armazenar as teclas digi tadas pelo usu rio no teclado do computador. Normalmente a ativacao do keylogger a e condicionada a uma acao pr via do usu rio, como o acesso a um site especco de e a com rcio eletr nico ou de Internet Banking. Veja tamb m Spyware. e o e
Largura de banda Quantidade de dados que podem ser transmitidos em um canal de comunicacao, em um determinado intervalo de tempo. Link curto Tipo de link gerado por meio de servicos que transformam um link convencional em outro de tamanho reduzido. O link curto e automaticamente expandido para o link original, quando o usu rio clica nele. a
Link patrocinado Tipo de link apresentado em destaque em site de busca quando palavras especcas s o pesquisadas pelo usu rio. Quando o usu rio clica em um link patrocinado, o site a a a de busca recebe do anunciante um valor previamente combinado. Log Registro de atividades gerado por programas e servicos de um computador. Termo t cnico que se refere ao registro de atividades de diversos tipos como, por exemplo, e ` de conex o (informacoes sobre a conex o de um computador a Internet) e de acesso a a a aplicacoes (informacoes de acesso de um computador a uma aplicacao de Internet). Do ingl s Malicious advertsing. Tipo de golpe que consiste em criar an ncios mae u liciosos e, por meio de servicos de publicidade, apresent -los em diversas p ginas a a Web. Geralmente, o servico de publicidade e induzido a acreditar que se trata de um an ncio legtimo e, ao aceit -lo, intermedia a apresentacao e faz com que ele seja u a mostrado em diversas p ginas. a Do ingl s Malicious software. Veja C digo malicioso. e o
Malvertising
Malware
Master password Veja Chave mestra. MMS Modem Do ingl s Multimedia Message Service. Tecnologia amplamente utilizada em telefoe nia celular para a transmiss o de dados, como texto, imagem, audio e vdeo. a Do ingl s Modulator/Demodulator. Dispositivo respons vel por converter os sinais e a do computador em sinais que possam ser transmitidos no meio fsico de comunicacao como, por exemplo, linha telef nica, cabo de TV, ar e bra otica. o
118
Negacao de servico Atividade maliciosa pela qual um atacante utiliza um computador ou dispositivo m vel para tirar de operacao um servico, um computador ou uma rede conectada o ` a Internet. Negacao de servico distribudo Atividade maliciosa, coordenada e distribuda pela qual um conjunto de computa dores e/ou dispositivos m veis e utilizado para tirar de operacao um servico, um o ` computador ou uma rede conectada a Internet. Netiqueta NTP Conjunto de normas de conduta para os usu rios da Internet, denido no documento a RFC 1855: Netiquette Guidelines. Do ingl s Network Time Protocol. Tipo de protocolo que permite a sincronizacao e dos rel gios dos dispositivos de uma rede, como servidores, estacoes de trabalho, o ` roteadores e outros equipamentos, a partir de refer ncias de tempo con veis (Fonte: e a http://ntp.br/). Veja Endereco IP. Regra de envio de mensagens que dene que e proibido mandar e-mails comerciais/spam, a menos que exista uma concord ncia pr via por parte do destinat rio. Veja a e a tamb m Soft opt-in. e Regra de envio de mensagens que dene que e permitido mandar e-mails comerciais/spam, mas deve-se prover um mecanismo para que o destinat rio possa parar de a receber as mensagens. Acr nimo para peer-to-peer. Arquitetura de rede onde cada computador tem funcio onalidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, em que alguns dispositivos s o dedicados a servir outros. Este tipo de rede e normala mente implementada via programas P2P, que permitem conectar o computador de um usu rio ao de outro para compartilhar ou transferir dados, como MP3, jogos, vdeos, a imagens, etc. Veja Senha. Veja Correcao de seguranca. Do ingl s Pretty Good Privacy. Programa que implementa criptograa de chave e sim trica, de chaves assim tricas e assinatura digital. Possui vers es comerciais e e e o gratuitas. Veja tamb m GnuPG. e
Numero IP Opt-in
Opt-out
P2P
Password Patch PGP
Phishing, phishing scam, phishing/scam Tipo de golpe por meio do qual um golpista tenta obter dados pessoais e nanceiros de um usu rio, pela utilizacao combinada de meios t cnicos e engenharia social. a e Plug-in, complemento, extens o a Programa geralmente desenvolvido por terceiros e que pode ser istalado no navegador Web e/ou programa leitor de e-mails para prover funcionalidades extras. Poltica de seguranca Documento que dene os direitos e as responsabilidades de cada um em relacao a ` ` seguranca dos recursos computacionais que utiliza e as penalidades as quais est a sujeito, caso n o a cumpra. a
Glossario
119
Poltica de uso aceit vel a Tamb m chamada de Termo de Uso ou Termo de Servico. Poltica na qual s o e a denidas as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situacoes que s o consideradas abusivas. a Proxy Servidor que atua como intermedi rio entre um cliente e outro servidor. Normala mente e utilizado em empresas para aumentar o desempenho de acesso a determina` dos servicos ou permitir que mais de uma m quina se conecte a Internet. Quando a mal congurado (proxy aberto) pode ser abusado por atacantes e utilizado para tornar an nimas algumas acoes na Internet, como atacar outras redes ou enviar spam. o Proxy mal congurado que pode ser abusado por atacantes e utilizado como uma forma de tornar an nimas algumas acoes na Internet, como atacar outras redes ou o enviar spam. Veja Poltica de uso aceit vel. a Rede que permite a conex o entre computadores e outros dispositivos por meio da a transmiss o e recepcao de sinais de r dio. a a Tipo de rede de relacionamento que permite que os usu rios criem pers e os utia lizem para se conectar a outros usu rios, compartilhar informacoes e se agrupar de a acordo com interesses em comum. Alguns exemplos s o: Facebook, Orkut, Twitter, a Linkedin, Google+ e foursquare. Tipo de c digo malicioso. Conjunto de programas e t cnicas que permite esconder e o e assegurar a presenca de um invasor ou de outro c digo malicioso em um computador o importante ressaltar que o nome rootkit n o indica que as ferramencomprometido. E a tas que o comp em s o usadas para obter acesso privilegiado (root ou Administrator) o a em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido. Esquemas ou acoes enganosas e/ou fraudulentas. Normalmente, t m como nalidade e obter vantagens nanceiras. Veja Varredura em redes. Programa usado para efetuar varreduras em redes de computadores, com o intuito de identicar quais computadores est o ativos e quais servicos est o sendo disponibia a lizados por eles. Amplamente usado por atacantes para identicar potenciais alvos, pois permite associar possveis vulnerabilidades aos servicos habilitados em um com putador. Tipo especco de spyware. Programa similar ao keylogger, capaz de armazenar a posicao do cursor e a tela apresentada no monitor, nos momentos em que o mouse e clicado, ou a regi o que circunda a posicao onde o mouse e clicado. E bastante a utilizado por atacantes para capturar as teclas digitadas pelos usu rios em teclados a virtuais, disponveis principalmente em sites de Internet Banking. Veja tamb m Spy e ware. Conjunto de caracteres, de conhecimento unico do usu rio, utilizado no processo de a vericacao de sua identidade, assegurando que ele e realmente quem diz ser e que possui o direito de acessar o recurso em quest o. a
Proxy aberto
PUA Rede sem o Rede Social
Rootkit
Scam Scan Scanner
Screenlogger
Senha
120
Service Pack Site
Veja Correcao de seguranca. Local na Internet identicado por um nome de domnio, constitudo por uma ou mais p ginas de hipertexto, que podem conter textos, gr cos e informacoes multimdia. a a
Site de compras coletivas Tipo de site por meio do qual os anunciantes ofertam produtos, normalmente com grandes descontos, por um tempo bastante reduzido e com quantidades limitadas. E considerado como intermedi rio entre as empresas que fazem os an ncios e os a u clientes que adquirem os produtos. Site de leil o e venda de produtos a Tipo de site que intermedia a compra e a venda de mercadorias entre os usu rios. a Alguns sites desse tipo oferecem sistema de gerenciamento por meio do qual o paga mento realizado pelo comprador somente e liberado ao vendedor quando a conrma cao de que a mercadoria foi corretamente recebida e enviada. S/MIME Do ingl s Secure/Multipurpose Internet Mail Extensions. Padr o para assinatura e e a criptograa de e-mails. Do ingl s Short Message Service. Tecnologia utilizada em telefonia celular para a e transmiss o de mensagens de texto curtas. Diferente do MMS, permite apenas dados a do tipo texto e cada mensagem e limitada em 160 caracteres alfanum ricos. e Do ingl s Simple Mail Transfer Protocol. Protocolo respons vel pelo transporte de e a mensagens de e-mail na Internet. Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para capturar informacoes sensveis (como senhas de usu rios), em casos onde estejam sendo a utilizadas conex es inseguras, ou seja, sem criptograa. Veja tamb m Interceptacao o e de tr fego. a Veja Interceptacao de tr fego. a Regra semelhante ao opt-in, mas neste caso prev uma excecao quando j existe uma e a relacao comercial entre remetente e destinat rio. Dessa forma, n o e necess ria a a a a permiss o explcita por parte do destinat rio para receber e-mails desse remetente. a a Veja tamb m Opt-in. e Termo usado para se referir aos e-mails n o solicitados, que geralmente s o enviados a a para um grande n mero de pessoas. u Computador infectado por c digo malicioso (bot), capaz de transformar o sistema do o usu rio em um servidor de e-mail para envio de spam. Em muitos casos, o usu rio do a a computador infectado demora a perceber que seu computador est sendo usado por a um invasor para esse m. Instituicao que oferece diversos servicos antispam, sendo o mais conhecido o que permite reclamar automaticamente de spams recebidos. Pessoa que envia spam.
SMS
SMTP
Sniffer
Snifng Soft opt-in
Spam
Spam zombie
Spamcop
Spammer
Glossario
121
Spyware
Tipo especco de c digo malicioso. Programa projetado para monitorar as ativi o dades de um sistema e enviar as informacoes coletadas para terceiros. Keylogger, screenlogger e adware s o alguns tipos especcos de spyware. a Do ingl s Secure Shell. Protocolo que utiliza criptograa para acesso a um compue tador remoto, permitindo a execucao de comandos, transfer ncia de arquivos, entre e outros. Do ingl s Service Set Identier. Conjunto unico de caracteres que identica uma rede e sem o. O SSID diferencia uma rede sem o de outra, e um cliente normalmente s o pode conectar em uma rede sem o se puder fornecer o SSID correto. Do ingl s Secure Sockets Layer. Assim como o TLS, e um protocolo que por meio e de criptograa fornece condencialidade e integridade nas comunicacoes entre um cliente e um servidor, podendo tamb m ser usado para prover autenticacao. Veja e tamb m HTTPS. e Fuso hor rio. a Do ingl s Transport Layer Security. Assim como o SSL, e um protocolo que por e meio de criptograa fornece condencialidade e integridade nas comunicacoes entre um cliente e um servidor, podendo tamb m ser usado para prover autenticacao. Veja e tamb m HTTPS. e
SSH
SSID
SSL
Time zone TLS
Trojan, Trojan horse Veja Cavalo de troia. UBE UCE URL Username Do ingl s Unsolicited Bulk E-mail. Termo usado para se referir aos e-mails n o e a solicitados enviados em grande quantidade. Veja tamb m Spam. e Do ingl s Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails e comerciais n o solicitados. Veja tamb m Spam. a e Do ingl s Universal Resource Locator. Sequ ncia de caracteres que indica a localie e zacao de um recurso na Internet como por exemplo, http://cartilha.cert.br/. Veja Conta de usu rio. a
Varredura em redes T cnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de e identicar computadores ativos e coletar informacoes sobre eles como, por exemplo, servicos disponibilizados e programas instalados. Vrus Programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo c pias de si mesmo, tornando-se parte de outros programas e o arquivos. O vrus depende da execucao do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeccao. ` Do ingl s Virtual Private Network. Termo usado para se referir a construcao de uma e rede privada utilizando redes p blicas (por exemplo, a Internet) como infraestrutura. u Esses sistemas utilizam criptograa e outros mecanismos de seguranca para garantir ` que somente usu rios autorizados possam ter acesso a rede privada e que nenhum a dado ser interceptado enquanto estiver passando pela rede p blica. a u
VPN
122
Vulnerabilidade Condicao que, quando explorada por um atacante, pode resultar em uma violacao de seguranca. Exemplos de vulnerabilidades s o falhas no projeto, na implementacao a ou na conguracao de programas, servicos ou equipamentos de rede. Web bug Imagem, normalmente muito pequena e invisvel, que faz parte de uma p gina Web ou a de uma mensagem de e-mail, e que e projetada para monitorar quem est acessando a esaa p gina Web ou mensagem de e-mail. a Do ingl s Wired Equivalent Privacy. Protocolo de seguranca para redes sem o que e implementa criptograa para a transmiss o dos dados. a Lista de e-mails, domnios ou enderecos IP, previamente aprovados e que, normal mente, n o s o submetidos aos ltros antispam congurados. a a Do ingl s Wireless Fidelity. Marca registrada, genericamente usada para se referir a e redes sem o que utilizam qualquer um dos padr es 802.11. o Veja Rede sem o. Do ingl s Wireless Local-Area Network. Tipo de rede que utiliza ondas de r dio de e a alta frequ ncia, em vez de cabos, para a comunicacao entre os computadores. e Tipo de c digo malicioso. Programa capaz de se propagar automaticamente pelas o redes, enviando c pias de si mesmo de computador para computador. Diferente do o vrus, o worm n o embute c pias de si mesmo em outros programas ou arquivos e a o n o necessita ser explicitamente executado para se propagar. Sua propagacao se d a a por meio da exploracao de vulnerabilidades existentes ou falhas na conguracao de programas instalados em computadores.
WEP Whitelist Wi-Fi Wireless WLAN Worm
Zombie-computer Veja Computador zumbi.
Indice Remissivo
A
advance fee fraud . .veja fraude de antecipacao de recursos adware . . . . . . . . . . . . . . . . . . . . . . . veja spyware anonymizer . . . . . . . . . veja navegacao an nima o antimalware 11, 30, 44, 45, 5557, 76, 9597, 99, 100, 102, 108 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 antirootkit . . . . . . . . . . . . . . . . . veja antimalware antispyware . . . . . . . . . . . . . . . veja antimalware antitrojan . . . . . . . . . . . . . . . . . veja antimalware antivrus . . . . . . . . . . . . . . . . . . veja antimalware assinatura digital . . . . . . . . . . . . . . . . . . . . . 6970 ataques.3, 6, 1723, 25, 26, 29, 33, 41, 4850, 54, 60 de dicion rio . . . . . . . . . . . . . . . . . . . . . . . . 35 a de forca bruta 6, 18, 20, 22, 54, 60, 61, 73, 77, 88, 102, 105 motivacao . . . . . . . . . . . . . . . . . . . . . . . 1718 prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 t cnicas usadas . . . . . . . . . . . . . . . . . . . 1822 e autoridade certicadora . . . . . . . . . . . 70, 82, 83 certicado digital . . . . . . . . . . . . . . . . . . . . 7072 autoassinado . . . . . . . . . . . . . . 7072, 80, 83 EV SSL . . . . . . . . . . . . . . . . . . . . . . . . . 71, 80 vericar se e con vel . . . . . . . . . . . . 8283 a chave sim trica . . . . . . . . . . . . . . . . . . . . . . 6869 e chaves assim tricas . . . . . . . . . . . . . . . . . . . 6869 e c digos maliciosos . . . . . . . . . . . . . . . . . . . 2330 o prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 resumo comparativo . . . . . . . . . . . . . . . . . 30 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2430 c digos m veis . . . . . . . . . . . . . . . . . . . . . . 4142 o o com rcio eletr nico . . . . . . 9, 1114, 27, 40, 64 e o cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214 compartilhamento de recursos . . . . 23, 45, 102 complementos . . 4143, 58, 72, 75, 76, 95, 97, 108 computador de terceiros . 4042, 60, 61, 63, 64, 77, 78, 86, 100 pessoal . . . . . . . . . . . . . . . . . . . . . . . . . 93100 conex es Web . . . . . . . . . . . . . . . . . . . . . . . 7883 o tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7981 condencialidade . 3, 48, 63, 68, 70, 71, 7880 poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 49 cookies . . . . . . . . 4041, 58, 64, 76, 85, 86, 100 c pia de seguranca . . . . . . . . . . . . . . veja backup o criptograa . . . . . . . . . . . . . . . . . . . . . . 51, 6774 conceitos . . . . . . . . . . . . . . . . . . . . . . . . 6872 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7374 programas . . . . . . . . . . . . . . . . . . . . . . . . . . 72 termos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 cuidados a serem tomados administracao de contas . . . . . . . . . . . 9899 ao usar computadores de terceiros . . . . 100 ao usar redes . . . . . . . . . . . . . . . . . . . . . . . 102 backup . . . . . . . . . . . . . . . . . . . . . . . . . . 5253 banda larga xa . . . . . . . . . . . . . . . . . . . . 106
123
B
backdoor . . . . . . . . . . . . . . . . . . . . . . . . 2830, 57 backup . . . . 5153, 67, 69, 73, 96, 97, 100, 109 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 m vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 o banners de propaganda . . . . . . . . . . . . . . . 4344 bluetooth . . . . . . . . . . . . . . . . . . . 24, 63, 105, 109 boato . . . . . . . . . . . . . . . . . . . . . . 2, 1516, 49, 60 bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26, 30 botnet . . . . . . . . . . . . . . . . . . . . . . . 21, 22, 26, 107 brute force . . . . . . . . veja ataques de forca bruta
C
cavalo de troia . . . . . . . . . . . . . . . . . . . veja trojan
124
banda larga m vel . . . . . . . . . . . . . . . . . . 106 o bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . 105 com rcio eletr nico . . . . . . . . . . . . . . . . . . 78 e o computador pessoal . . . . . . . . . . . . . . 9397 contas e senhas . . . . . . . . . . . . . . . . . . . . . . 61 criptograa . . . . . . . . . . . . . . . . . . . . . . 7374 dispositivos m veis . . . . . . . . . . . . 108109 o ferramentas antimalware . . . . . . . . . . . . . 56 ltro antispam . . . . . . . . . . . . . . . . . . . . . . . 58 rewall pessoal . . . . . . . . . . . . . . . . . . . . . . 57 Internet Banking . . . . . . . . . . . . . . . . . . . . . 77 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 navegadores Web . . . . . . . . . . . . . . . . . 7576 poltica de seguranca . . . . . . . . . . . . . . . . . 49 privacidade . . . . . . . . . . . . . . . . . . . . . . 8687 programas leitores de e-mails . . . . . . . . . 76 redes sociais . . . . . . . . . . . . . . . . . . . . . 8991 Webmails . . . . . . . . . . . . . . . . . . . . . . . . 7677 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . 103104
furto de identidade . . . . . . . . . . . . . . . . . . . . . . . . 6
G
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .516 da Nig ria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 e prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 sites de compras coletivas . . . . . . . . . . . . 13 sites de leil o e venda de produtos . . . . . 14 a sites fraudulentos . . . . . . . . . . . . . . . . . 1213 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
H
harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69, 73 hoax . . . . . . . . . . . . . . . . . . . . . . . . . . . . veja boato
I
identity theft . . . . . . . . . veja furto de identidade interceptacao de tr fego . . . 6, 19, 66, 102, 103 a Internet ataques . . . . . . . . . . . . . . . . . . . . veja ataques golpes . . . . . . . . . . . . . . . . . . . . . . veja golpes prevencao . . . . . . . . . . . . . . . veja prevencao riscos . . . . . . . . . . . . . . . . . . . . . . . veja riscos seguranca . . . . . . . . . . . . . . . . veja seguranca spam . . . . . . . . . . . . . . . . . . . . . . . . veja spam uso seguro . . . . . . . . . . . . . . . . . . . . . . . 7583 Internet Banking . 9, 11, 12, 27, 29, 40, 63, 64, 107 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
D
DDoS . . . . . . . . . . . . . . . veja negacao de servico defacement . . . . . . veja desguracao de p gina a desguracao de p gina . . . . . . . . . . . . . . . . . . . 21 a dispositivos m veis o cuidados . . . . . . . . . . . . . . . . . . . . . . 108109 riscos . . . . . . . . . . . . . . . . . . . . . . . . . 107108 DoS . . . . . . . . . . . . . . . . veja negacao de servico
E
e-commerce. . . . . . . . .veja com rcio eletr nico e o e-mail spoong . . . . veja falsicacao de e-mail engenharia social. . . . . . . . . . . . .5, 9, 60, 87, 88 extens es . . . . . . . . . . . . . . . . . . . . 4243, 97, 108 o
J
janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . 42
K F
falsa identidade . . . . . . veja furto de identidade falsicacao de e-mail . . . . . . . . . . . . . . . . . 1819 falso positivo . . . . . . . . . . . . . . . . . . . . . . . . 36, 48 ltro antiphishing . . . . . . . . . . . . . . . . . . . . . 11, 58 antispam . . . . . . . . . . . . . . . . . . . . . 34, 35, 58 de bloqueio de propagandas. . . . . . . . . . .58 de c digos m veis . . . . . . . . . . . . . . . . . . . 58 o o de janelas de pop-up . . . . . . . . . . . . . . . . . 58 rewall pessoal . 11, 44, 48, 55, 57, 90, 95, 102 forca bruta . . . . . . . . veja ataques de forca bruta fraude de antecipacao de recursos . . . . . . . . 78 funcao de resumo . . . . . . . . . . . . . . . . . veja hash keylogger . . . . . . . . . . . . . . . . . . . . . veja spyware
L
links curtos . . . . . . . . . . . . . . . . . . . . . . . . . . . 58, 95 patrocinados . . . . . . . . . . . . . . . . . . . . . 12, 43 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29, 5354
M
malvertising . . . . . veja banners de propaganda malware . . . . . . . . . . . . veja c digos maliciosos o
N
navegacao an nima . . . . . . . . . . 41, 58, 86, 100 o
ndice Remissivo I
125
navegador Web cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 negacao de servico . . . . . . . . . . . . . . . . . . . 2122 Nigerian 4-1-9 Scam . . . veja golpes da Nig ria e noticacao de incidentes e abusos . . . . . . 5051
em redes sociais . . . . . . . veja redes sociais poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 programa de distribuicao de arquivos. . . . . . . . . . . .44 leitor de e-mails . . . . . . . . . . . . . . . . . . . . . 76 para vericacao de vulnerabilidades . . . 58
P
password . . . . . . . . . . . . . . . . . . . . . . . . veja senha pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912 phishing-scam . . . . . . . . . . . . . . . . . veja phishing phishing/scam . . . . . . . . . . . . . . . . . veja phishing plug-ins . . . . . . . . . . . . . . . . . . . . . 4243, 97, 108 poltica de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 de condencialidade . . . . . . . . . . . . . . . . . 49 de privacidade . . . . . . . . . . . . . . . . . . . . . . . 48 de seguranca . . . . . . . . . . . . . . . . . . . . . 4849 de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 de uso aceit vel . . . . . . . . . . . . . . . . . . . . . 49 a prevencao ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 banners de propaganda . . . . . . . . . . . . . . . 44 boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 c digos m veis . . . . . . . . . . . . . . . . . . 4142 o o c digos maliciosos . . . . . . . . . . . . . . . . . . . 30 o compartilhamento de recursos . . . . . . . . . 45 complementos . . . . . . . . . . . . . . . . . . . 4243 cookies . . . . . . . . . . . . . . . . . . . . . . . . . . 4041 extens es . . . . . . . . . . . . . . . . . . . . . . . . 4243 o fraude de antecipacao de recursos . . . . . . 8 furto de identidade . . . . . . . . . . . . . . . . . . . . 6 golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 sites de compras coletivas . . . . . . . . . . 13 sites de leil o e venda de produtos . . . 14 a sites fraudulentos . . . . . . . . . . . . . . . 1213 janelas de pop-up . . . . . . . . . . . . . . . . . . . . 42 links patrocinados . . . . . . . . . . . . . . . . . . . 43 pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . 4243 programa de distribuicao de arquivos . . 44 spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3537 privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . 8591 ao divulgar informacoes . . . . . . . . . . 8687 ao navegar na Web . . . . . . . . . . . . . . . . . . . 86 ao usar e-mails . . . . . . . . . . . . . . . . . . . . . . 86 como pode ser exposta . . . . . . . . . . . . 8586 como preservar . . . . . . . . . . . . 8687, 8991
R
redes cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 riscos . . . . . . . . . . . . . . . . . . . . . . . . . 101102 sem o dom stica . . . . . . . . . . . . . . 104105 e tipos de acesso . . . . . . . . . . . . . . . . . 102106 redes sociais 6, 8, 9, 20, 36, 49, 60, 65, 8791, 93, 106109 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 8991 riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 8788 registro de eventos . . . . . . . . . . . . . . . . . veja logs riscos . . . . . . . . . . . . . . . . . . . . . . . . . . 23, 3945 rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2930
S
scan . . . . . . . . . . . . . . . . veja varredura em redes screenlogger . . . . . . . . . . . . . . . . . . veja spyware seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 de computadores . . . . . . . . . . . . . . . . 93100 de redes . . . . . . . . . . . . . . . . . . . . . . . 101106 em conex es Web . . . . . . . . . . . . . . . . . . . 111 o em dispositivos m veis . . . . . . . . . 107109 o mecanismos de . . . . . . . . . . . . . . . . . . . 4758 requisitos b sicos . . . . . . . . . . . . . . . . 4748 a senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51, 5966 como elaborar . . . . . . . . . . . . . . . . . . . 6162 como gerenciar . . . . . . . . . . . . . . . . . . 6365 como pode ser descoberta . . . . . . . . . 6061 como recuperar . . . . . . . . . . . . . . . . . . 6566 cuidados ao usar . . . . . . . . . . . . . . . . . . . . . 61 poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 quando alterar . . . . . . . . . . . . . . . . . . . . . . . 63 sigilo . . . . . . . . . . . . . . . . . veja condencialidade snifng . . . . . . . . . veja interceptacao de tr fego a spam . . . 3, 8, 12, 13, 19, 23, 26, 3337, 58, 60, 88, 89, 93, 101, 106, 107 prevencao . . . . . . . . . . . . . . . . . . . . . . . 3537 problemas causados . . . . . . . . . . . . . . 3435 spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27, 30 adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 screenlogger . . . . . . . . . . . . . . . . . . . . . . . . 27
126
T
termo de servico . . . veja poltica de uso aceit vel a de uso . . . . . . veja poltica de uso aceit vel a teste de reputacao de site . . . . . . . . . . . . . . . . . 58 trojan . . . . . . . . . . . . . . . . . . . . . . . . 2830, 50, 55 trojan-horse . . . . . . . . . . . . . . . . . . . . . veja trojan
vrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24, 30 vulnerabilidades . . . . . . . . . . 18, 2123, 25, 26, 28, 29, 40, 44, 54, 57, 58, 93, 94, 101, 102, 104, 106
W
Webmail . . . . . . . . . . . . . . . . . . . . . . 36, 40, 58, 86 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7677 Wi-Fi . . . . . . . . . . . . . . . . . . 63, 77, 78, 103105 worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25, 30
V
varredura em redes . . . . . . . . . 3, 18, 25, 29, 102

Cartilha Seguranca Internet

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cartilha Seguranca Internet

Încărcat de

Drepturi de autor:

Formate disponibile

http://cartilha.cert.

USO NAO COMERCIAL

VEDADA A CRIACAO DE OBRAS DERIVADAS 3.0 BRASIL

Cartilha de Seguranca para Internet

Comite Gestor da Internet no Brasil Sao Paulo 2012

Textos e Edicao: Equipe do CERT.br Ilustracoes: H ctor G mez e Osnei e o

Cartilha de Seguranca para Internet

Licenca de Uso da Cartilha

Hist rico da Cartilha o

iii vii xiii xiii 1 5 6 7 9 11 12 12 13 14 15 16 17 18 18 18 19

Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Cartilha de Seguranca para Internet

3.5 3.6 3.7 3.8 4

Spam 5.1 Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.4 7.5 7.6 7.7 7.8 7.9

Cartilha de Seguranca para Internet

12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100 13 Seguranca de redes 101

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Furto de identidade (Identity theft)

Fraude de antecipacao de recursos (Advance fee fraud)

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Golpes de com rcio eletr nico e o

Golpe do site de com rcio eletr nico fraudulento e o

Golpe envolvendo sites de compras coletivas

Cartilha de Seguranca para Internet

Golpe do site de leil o e venda de produtos a

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Varredura em redes (Scan)

Falsicacao de e-mail (E-mail spoong)

Interceptacao de tr fego (Snifng) a

Cartilha de Seguranca para Internet

Forca bruta (Brute force)

Desguracao de p gina (Defacement) a

Negacao de servico (DoS e DDoS)

Cartilha de Seguranca para Internet

4. C digos maliciosos (Malware) o

Cartilha de Seguranca para Internet

4. Codigos maliciosos (Malware)

Cartilha de Seguranca para Internet

4. Codigos maliciosos (Malware)

Cartilha de Seguranca para Internet

Cavalo de troia (Trojan)

4. Codigos maliciosos (Malware)

Cartilha de Seguranca para Internet

4. Codigos maliciosos (Malware)

C digos Maliciosos o Spyware Backdoor              Trojan Worm Rootkit         

Tabela 4.1: Resumo comparativo entre os c digos maliciosos. o

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Plug-ins, complementos e extens es o

e uma palavra em ingl s originada da juncao de malicious (malicioso) e advertsing (propaganda). e

Cartilha de Seguranca para Internet

Programas de distribuicao de arquivos (P2P)

Cartilha de Seguranca para Internet

Cartilha de Seguranca para Internet

Noticacao de incidentes e abusos

C pias de seguranca (Backups) o

Cartilha de Seguranca para Internet

C digos Maliciosos o Spyware Backdoor Trojan Worm Rootkit